White Ops a publicat Marti un raport ce dezvaluie cea mai profitabila operatiune de frauda in publicitate descoperita vreodata pana acum.
Methbot are ca target ecosistemul de video advertising premium. Acest “bot farm” opereaza prin data centere din SUA si Olanda, fiind controlat de un grup localizat in Rusia.
A fost botezat “Methbot” din cauza referintelor la “meth” care se regasesc in codul sau sursa. Victimele operatiunii, care produce un volum imens de afisari in video advertising, sunt unele dintre cele mai mari companii media si branduri din SUA.
Infrastructura operatiunii Methbot
Aceasta consta din doua mari componente:
1) 571.904 de boti pe IP-uri dedicate, cele mai multe fals inregistrate ca fiind din SUA. IP-urile au fost inregistrate atat in numele unor provideri reali (AT&T, Comcast, etc.) dar si in numele unor companii fantoma (ex: AmOL);
Se cunosc o buna parte a IP-urilor care apartin Methbot. Pentru cei interesati sa le blocheze, pot fi descarcate: Lista Adreselor IP Compromise (http://methbot.s3-website-us-east-1.amazonaws.com/IPs.txt) , IP Range-uri in format CIDR (http://methbot.s3-website-us-east-1.amazonaws.com/IPs-CIDR.txt)
2) intre 800 si 1200 de servere dedicate aflate in data centere din SUA si Olanda.
Astfel, Methbot “vizualizeaza” pana la 300 de milioane de video-uri publicitare pe zi pe site-uri care au fost construite ca si copii ale celor originale.
Este disponibila pentru descarcare lista celor peste 6000 de domenii falsificate precum si intreaga lista de URL-uri.
Impact financiar si volume estimate
– un venit intre 3 si 5 milioane USD zilnic pentru cei din spatele operatiunii
– CPM-uri intre 3.27 USD si 36.72 USD, cu o medie de 13.04 USD
– intre 200 si 300 de milioane de vizualizari video zilnice generate pe continut web falsificat
– 250.267 URL-uri dinstincte falsificate
– 6.111 domenii premium targetate si falsificate
Avand in vedere ca White Ops estimeaza ca Methbot ruleaza incepand din luna Septembrie, pana la data curenta s-a creat un prejudiciu total de cel putin 300 milioane USD, doar pentru clientii White Ops.
Tehnici foliste de Methbot
– Librarie http custom si un borwser engine cu suport Flash, toate ruland sub Node.js
– Contramasuri special construite impotriva codului sursa a mai mult de 10 companii de ad tech
– Clickuri fake, miscari de mouse, informatii de login de pe diverse site-uri de socializare – toate pentru a crea impresia unei persoane engaged
– Manipulari ale informatiilor de localizare geografica asocitate adreselor IP pe care le controleaza
Caracteristicile tehnice ale botilor
White Ops a folosit “reflection” din JS pentru a aduna informatii detalitate asupra metodei de functionare Methbot. Botul ruleaza sub Node.js si foloseste mai multe librarii open source. Opereaza pe un sistem distribuit pe un multi data center la scala larga. Cateva dintre toolurile si librariile open source folosite sunt:
– tough-cookie pentru a pastra session data intre executari
– cheerio pentru parsarea de HTML
– JWPlayer pentru a rula ad tags si a face request la video ads.
– Node.JS
De asemenea, Methbot se camufleaza sub forma oricaruia dintre browserele cele mai populare prin cipoerea user agent stringului. Se camufleaza cel mai adesea in Chrome (incluzand versiunile 53 si 54), Firefox 47, IE 11, Safari 9.1 si 9.2. Operatorii Methbot au copiat si OS-uri, incluzand Windows 10 (precum si versiuni anterioare) si mai mutle versiuni de Mac OS X (de la 10.5 la 10.12.1)
XX Hardware si reteaua Proxy
Nodurile Methbot sunt servere fizice din Dallas si Amsterdam, fiecare server ruland instante multiple ale Methbot.
Spre deosebire de cele mai multe opreatiuni asemanatoare, Methbot dobandeste diversitatea de IP-uri prin proxy-uri care ruleaza pe propriile lor servere. In mod normal acest tip de IP-uri este identificat ca apartinand unui data center si este blocat. Cei ce opereaza Methbot au ocolit aceasta problema falsificand detalii de inregistrare, facand sa para ca IP-urile apartin unor ISP-uri din zone rezidentiale. S-au folosit atat nume de ISP reali cat si unele inventate. Pe baza traficului analizat, White Ops a identificat un numar de 571,904 adrese IP sub IPv4 ca fiind controlate de matre Methbot. Ca si termen de comparatie, Facebook foloseste un numar de IP-uri undeva la jumatate comparat cu Methbot.
Cum este construit Methbot
Screen Object Construction
Methbot defineste proprietatile in context pentru a emula “fereastra” de browser si obiectele “document”
Cod ce permite unui third party JS sa se inregistreze la context events
Sunt create si trimise artificial eventuri
Exemple de actiuni false menite sa imite faptul ca o reclama digitala a fost vizualizata pe un ecran.
Dupa primul event se cheama VAST tracking URL-uri
Se distrug obiectele flash dupa ce un event este primit
Comportamentul uman organic este simulat prin intreruperea random a playbackului in momente diferite
Se simuleaza click-uri intr-o maniera random astfel incat sa se obtina un rezultat realist
Cand executia nu este intrerupta se simuleaza eventuri specific umane si se genereaza click-uri in imagini
Simularea de input uman
Emulare de click pentru a pacali logica de click validation care cauta eventuri tip input
Imediat dupa ce se initializeaza DOM-ul, onload eventul este creat si trimis artificial
Exemplu de IP fals inregistrat
– inregistrat fals in numele Timer Warner Cable Inc.
– tara indicata este US
– adresa email de contact dubioasa
– numar de telefon de Seychelles
Pentru informatii complete, descarcati white paper-ul White Ops. Acesta a servit ca sursa principala a informatiilor cuprinse in acest articol.
Despre White Ops
White Ops este lider global in protectia impotriva fraudelor in advertising. Ofera solutii de verificare si optimizare aceste industrii. Mai multe despre companie pe www.whiteops.com.
