Actif depuis mi-septembre 2014, un botnet est parvenu à prendre le contrôle de près d'un million d'ordinateurs dans le monde. L'agent infectieux est un malware intégré dans un fichier d'installation modifié de type MSI pour Windows.
Ces fichiers corrompus sont associés à des programmes tels que WinRAR, YouTube Downloader, Connectify, Start8 et KMSPico. Après installation sur la machine prise pour cible, le nuisible dénommé Redirector.Paco s'appuie sur un fichier PAC (Proxy auto-config) pour rediriger des requêtes de recherches sur Google, Bing ou Yahoo.
Au gré de quelques modifications dans la base de registre, le trafic sera redirigé vers des publicités contextuelles permettant de générer des revenus ici frauduleux grâce au programme AdSense pour les recherches de Google.
Les opérateurs du botnet détournent les recherches vers un autre moteur de recherche personnalisé spécifiquement conçu qui affiche ses propres résultats, et détournent par la même occasion des revenus publicitaires.
Les chercheurs de Bitdefender Labs ont analysé la procédure de détournement qui concerne également les résultats via HTTPS. Le cas échéant, l'utilisateur aura cependant droit à un avertissement pour un problème avec le certificat électronique.
Si les résultats de recherche sont voulus pour paraître authentiques, Bitdfender souligne des incides qui peuvent mettre la puce à l'oreille : un message tel que " Waiting for proxy tunel " ou " Downloading proxy script " dans la barre d'état du navigateur ; une fausse page Google qui est longue à télécharger ; les lettres colorées du logo Google qui ne sont pas affichées au-dessus des numéros de page (en bas de page).
Les pays principalement touchés par ce botnet sont l'Inde, la Malaisie, la Grèce, les États-Unis, l'Italie, le Pakistan, le Brésil et l'Algérie. Un botnet sert donc aussi à de telles actions.