Denně mohli zhlédnout mezi 200 a 300 miliony videi a vygenerovat příjem mezi 3 a 5 miliony dolary. Celkové výnosy se odhadují na 180 milionů dolarů. Dosavadní „nejúspěšnější“ malware ZeroAccess denně vydělával 900 000 dolarů.
Methbot místo reálných uživatelů vytvořil více než půl milionu virtuálních
Methbot nicméně nebyl malwarem. Neběžel na počítačích obětí a nezapojil je do botnetu. Ruská skupina AFK13, která za projektem stojí, vytvořila virtuální uživatele i virtuální vydavatele. Reální byli v řetězci pouze inzerenti, jejichž systémy se podařilo oklamat.
Skupina získala 571 904 IP adres a podvrhla jejich registrační údaje tak, že odpovídaly různým americkým poskytovatelům připojení a různým geolokacím. V datacentrech v Dallasu a Amsterdamu si pronajala kapacitu 800 až 1200 serverů. Na nich běželo několik instancí Methbota. Dále vybrala 6111 domén předních vydavatelů a vytvořila 250 267 falešných stránek s pozicí pro video. Přes standardní protokol VAST si nakonec z reklamních sítí vyžádala reklamu.
Samotný bot se tvářil jako skutečný uživatel. S pomocí JS knihoven AFK13 dokázala nasimulovat použití různých webových prohlížečů (Chrome, Firefox, IE, Safari) i systémů (Windows a OS X). Virtuální prohlížeče se tvářily, že používají různé doplňky jako Flash Player, vracely odlišné informace o rozlišení monitoru, přihlášení k sociálním sítím apod. Boti navíc simulovali pohyb a interakce na stránce. Detekční mechanismy reklamních sítí, které jinak mají zabránit podvržení impresí, selhaly.
Lidé z White Ops doufají, že zveřejnění dokumentů pomůže Methbot nejen zastavit, ale případ poslouží i pro zlepšení detekce podobných botů do budoucna.