KMeth worm, una strana forma di click fraud

KMeth è un worm del quale si è venuto a conoscenza nei giorni scorsi e che affonda una truffa dalle caratteristiche peculiari rispetto al percorso tradizionale (keylogger, trojan, phishing). KMeth nasce infatti da un sito web maligno, si sviluppa tramite instant messenger e colpisce AdSense portando lucro agli autori della truffa tramite una sorta di click-fraud indotto.

Un sito web a cui l’utente accede con Internet Explorer è in grado di scatenare il worm. L’effetto primario è quello di inviare messaggi automatici alla buddy list del messenger di Yahoo suggerendo link appositi con vari espedienti e sufficiente varietà (per non insospettire il destinatario ed incoraggiare il click). Il link proposto invia a pagine contenenti varie promozioni AdSense perlopiù incentrate sull’argomento Mesothelioma. Il Mesothelioma è infatti una forma tumorale molto rara che è stata al centro di gravi scontri legali: attorno a questo tipo di carcinoma si è sviluppato dunque un grande business ed il prezzo pagato per queste pubblicità raggiunge cifre molto alte (Spywareguide.com indica un costo dai 4 ai 13 dollari per ogni singolo click).

Una volta lanciato l’amo, dunque, agli autori non rimane altro che attendere qualche click raccolto a seguito del traffico veicolato sulle proprie pagine. Sebbene i click siano del tutto spontanei e non direttamente forzati, difficilmente l’interesse dell’utente per il Mesothelioma sarà concreto. I click sono dunque perlopiù frutto di un errore e la loro resa pubblicitaria è comunque nulla mentre il prezzo pagato dagli inserzionisti è molto alto. Trattasi di un click-fraud particolare (di cui Google ed i suoi inserzionisti sono le uniche vere vittime e nel contesto della quale l’utente è semplice inconsapevole tramite) all’interno di una truffa ben architettata, con gli strumenti di filtro AdSense in grave difficoltà a riconoscere tali click a causa dell’introduzione del fattore umano nel meccanismo di induzione del click stesso.

Sono probabilmente pochi i click registrati dal sito truffaldino, ma a colpi di vari dollari l’uno la cifra diventa subito consistente (soprattutto a valle di un investimento nullo). Trattasi dell’ennesimo attacco "di nicchia" su cui varie case antivirus stanno cercando di portare l’attenzione: che sia venuto il tempo della "long tale" della sicurezza informatica?