Антивирусные эксперты агентства Fortinet обнаружили, что администраторы ботнета Lethic придумали новый способ монетизации своего проекта: Lethic теперь не занимается распространением спамовых писем, а загружает заданные web-страницы, не показывая их пользователям зараженных ПК.
Впервые Lethic обнаружили еще в 2010 году, и за все время наблюдений за ним он использовался только для рассылки спама, а его спамботы по своей структуре отличались относительной примитивностью, работая как промежуточное звено между своим командным сервером и почтовыми серверами, а почтовые IP-адреса и номера портов спамроботам сообщал управляющий центр путем посылки закодированных команд.
Месяц назад мониторинговой службой Fortinet было установлено, что Lethic вместо email-сервисов упорно запрашивает web-ресурс, распространяющий билеты на одно шоу в канадском Торонто. Тогда же выяснилось, что практически исчезнувший с рынка спама вредонос «поменял ориентацию» и трансформировался в «кликер». Уж лучше бы его разработчики переквалифицировались в лесорубов или строителей и сделали что-нибудь полезное - например, построили бы террасу к дому, ей-богу.
Хотя Lethic остался по сути таким же прокси-ботом, но вместо адресов почтовых служб он получает от управляющего сервера определенные URL и команды о передаче HTTP/GET вместо SMTP-команд. Копируя поведение web-браузера, обновившийся ботнет тайно от пользователей зараженных ПК подгружает заданные страницы, нагоняя им трафик и таким образом принося прибыль своим создателям.