La operación bautizada por el FBI como "Click Fantasma" ha acabado con la detención de seis ciudadanos estonios y uno ruso, acusados de beneficiarse desde el 2007 de un malware que intercepta las peticiones DNS para enviar fraudulentamente a los usuarios a sitios con publicidad.
El fraude ha afectado a cuatro millones de usuarios de Mac y Windows en 100 países. El malware, denominado DNS Changer, cambia la configuración de los servidores DNS (utilizados para traducir los dominios que introduce el usuario en la IP de la maquina que alberga la web), sustituyendo los del ISP del usuario por unos gestionados por la red criminal.
Los servidores fraudulentos estaban configurados para resolver hasta 15.000 dominios con alto tráfico, como Netflix, iTunes o Apple, en otras direcciones IP en manos de la organización. De esta forma los usuarios infectados visitaban involuntariamente páginas que mostraban publicidad, por la que los estafadores percibían dinero. Además impedía el acceso a páginas de antivirus para evitar que el usuario se desinfecte. En total se calcula que esta actividad les ha reportado 14 millones de dólares desde el 2007.
El FBI registró dos centros de datos en Chicago y Nueva York e intervinó hasta 100 maquinas que utilizaban remotamente los implicados. Afortunadamente, las direcciones IP de los DNS fraudulentos han pasado a ser gestionadas por los creadores de BIND para seguir dando servicio a los miles de equipos que continúan infectados.
