Botnet proxy masiva construida con infecciones de malware sigilosas

Los investigadores han descubierto una campaña masiva que entregó aplicaciones de servidor proxy a al menos 400,000 sistemas Windows. Los dispositivos actúan como nodos de salida residenciales sin el consentimiento de los usuarios y una empresa está cobrando por el tráfico proxy que se ejecuta a través de las máquinas.

Los proxies residenciales son valiosos para los ciberdelincuentes porque pueden ayudar a implementar ataques de relleno de credenciales a gran escala desde direcciones IP nuevas. También tienen fines legítimos como la verificación de anuncios, el raspado de datos, las pruebas de sitios web o el redireccionamiento que mejora la privacidad.

Algunas compañías de proxy venden acceso a proxies residenciales y ofrecen recompensas monetarias a los usuarios que aceptan compartir su ancho de banda.

Los investigadores han descubierto una campaña masiva que entregó aplicaciones de servidor proxy a al menos 400,000 sistemas Windows. Los dispositivos actúan como nodos de salida residenciales sin el consentimiento de los usuarios y una empresa está cobrando por el tráfico proxy que se ejecuta a través de las máquinas.

Los proxies residenciales son valiosos para los ciberdelincuentes porque pueden ayudar a implementar ataques de relleno de credenciales a gran escala desde direcciones IP nuevas. También tienen fines legítimos como la verificación de anuncios, el raspado de datos, las pruebas de sitios web o el redireccionamiento que mejora la privacidad.

Algunas compañías de proxy venden acceso a proxies residenciales y ofrecen recompensas monetarias a los usuarios que aceptan compartir su ancho de banda.


"Además, como la aplicación proxy está firmada, no tiene detección antivirus, pasando por debajo del radar de las compañías de seguridad", agregaron los investigadores.

La misma compañía controlaba los nodos de salida creados por una carga maliciosa llamada AdLoad que apuntaba a los sistemas macOS, que AT&T informó la semana pasada.

De hecho, los dos binarios basados en Go (para macOS y Windows) parecen originarse en el mismo código fuente, sin embargo, el cliente proxy de Windows evade la detección antivirus debido al uso de una firma digital válida.

Infección de proxyware

La infección comienza con la ejecución de un cargador oculto en software y juegos agrietados, que descarga e instala la aplicación proxy automáticamente en segundo plano sin interacción del usuario.

Los autores de malware utilizan Inno Setup con parámetros específicos que ocultan cualquier indicador del proceso de instalación y todas las indicaciones típicas del usuario.

Durante la instalación del cliente proxy, el malware envía parámetros específicos, que también se transmiten al servidor de comando y control (C2) para que el nuevo cliente pueda registrarse e incorporarse a la botnet.


El cliente proxy establece la persistencia en el sistema infectado creando una clave de registro para activarlo cuando se inicia el sistema y agregando una tarea programada para buscar nuevas actualizaciones de cliente.

"El proxy luego recopila continuamente información vital de la máquina para garantizar un rendimiento y una capacidad de respuesta óptimos", explica el informe de AT&T.

"Esto incluye todo, desde la lista de procesos y el monitoreo de la CPU hasta la utilización de la memoria e incluso el seguimiento del estado de la batería".


Cómo proteger

AT&T recomienda buscar un ejecutable "Digital Pulse" en "%AppData%\" o una clave de registro con un nombre similar en "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\". Si hay alguno presente, los investigadores recomiendan eliminarlos.

El nombre de la tarea programada es "DigitalPulseUpdateTask" y también debe eliminarse para eliminar la posibilidad de que el mecanismo de actualización del cliente vuelva a introducir la infección.

Finalmente, evite descargar software pirateado y ejecutar ejecutables procedentes de ubicaciones dudosas como redes peer-to-peer o sitios que ofrecen software premium de forma gratuita.

Los signos de infección por proxyware incluyen degradación del rendimiento y la velocidad de Internet, patrones de tráfico de red inesperados, comunicación frecuente con IP o dominios desconocidos y alertas del sistema.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta