世界には多くのボットネットがありますが、その中には、率直に言って失敗したボットネット(この場合、この言葉が当てはまる場合)と芸術作品と呼ばれるシステムがあります。 さらに、ボットネット開発者の目標は大きく異なります。 最も一般的な目標は、お金を稼ぐことです。
Methbotボットファームの開発者は、所有者に1日あたり数百万米ドルをもたらすリアルマネーマシンを作成することができました 。 このボットネットを最初に発見したのはWhite Opsで、その作業を分析しました。 専門家によると、ボットネットはロシア人と考えられているハッカーグループAFT13に属しています。
ボットネットはしばしば広告を専門としています。 このようなシステムの開発者は、ユーザーのPCにさまざまな方法でマルウェアを感染させ、クリックと広告ビューを提供し、そのようなシステムの作成者を非常に多くの場合にもたらします。 問題のボットネット開発者は、ユーザーのPCに感染することをお勧めしていないようです。 彼らは「死んだ魂」、つまり偽のユーザーと協力することに決めました。
ボットネットを詳細に分析した結果、サイバー犯罪者が作成したインフラストラクチャには約800〜1200台のサーバーが含まれていることがわかりました。 それらは米国とオランダのデータセンターにあります。 攻撃者のベースは50万を超えるIPv4アドレスです。 これらの住所は、米国を地理参照しています。 さまざまな見積もりによると、このような実際のアドレスの量は、約2〜4百万ドルかかる可能性があります。
そのため、Methbotの作成者は元のスキームに従って動作します。彼らは自分のサイトのアドレスの置換を使用します。 まず、ボットはプレミアム発行元のリストからドメインまたはアドレスを自動的に選択します。 その後、同じ自動モードで、さまざまな広告ネットワークから広告およびビデオ広告を生成するために必要なすべてのものがあるフロントページが作成されます。 ボットは、プロキシを介したブラウザのシミュレーション中に広告を処理します。 同時に、すでに述べたように、ボットネットが一般ユーザーの作業を模倣するのに役立つトリックが使用されます。
ボット自体は、よく開発されているが隠れたインフラストラクチャが他の同様のプロジェクトとは異なります。 どうやら、開発者は長い間計画を実施しており、最初のステップはインフラストラクチャを非表示にして展開することです。 このボットファームは、Node.jsおよび多数のオープンソースライブラリで動作します。 これにより、サイバー犯罪者はブラウザをシミュレートできます。 保護システムによる検出を回避するために、ボットネットはさまざまなブラウザーおよびオペレーティングシステムの動作を模倣します。 さらに、システムはマウスカーソルの動き、クリック、ネットワークアクティビティを巧みにシミュレートし、広告システムの保護が機能しないようにします。
ほとんどのボットネットクリエーターは、最も高価な地域の偽のユーザーがクリックで表示するプレミアムビデオ広告で稼ぎます。
現在、ボットネットを発見した企業のパートナーだけでなく、FBIも状況の調査に関与していました。