Търсене
Close this search box.

В днешния си доклад AT&T Alien Labs твърди, че прокси мрежата с 400 000 възела е изградена чрез използване на зловредни товари, които доставят прокси приложението.

Въпреки че компанията, стояща зад ботнета, твърди, че потребителите са дали съгласието си, изследователите откриват, че проксито се инсталира безшумно на устройствата.

„Въпреки че уебсайтът на проксито твърди, че изходните му възли идват само от потребители, които са били информирани и са се съгласили с използването на тяхното устройство, Alien Labs разполага с доказателства, че авторите на зловреден софтуер инсталират проксито безшумно в заразените системи“, заявяват от AT&T Alien Labs

„Освен това, тъй като приложението на проксито е подписано, то няма антивирусна детекция, минавайки под радара на решенията  за сигурност“, добавят изследователите.

Същата компания контролира изходните възли, създадени от зловреден полезен товар, наречен AdLoad, който е насочен към системи с MacOS, за което AT&T съобщи миналата седмица.

Всъщност двете базирани на Go двоични програми (за macOS и Windows) изглежда произхождат от един и същ изходен код, обаче прокси клиентът за Windows избягва антивирусното откриване поради използването на валидна цифроваподпис. сигнатура.

Инфекция с прокси софтуер

Заразяването започва с изпълнението на зареждащ модул, скрит в кракнат софтуер и игри, който изтегля и инсталира прокси приложението автоматично във фонов режим без взаимодействие с потребителя.

Авторите на зловредния софтуер използват Inno Setup със специфични параметри, които скриват всякакви индикатори за процеса на инсталиране и всички типични за потребителя подкани.

По време на инсталирането на прокси клиента злонамереният софтуер изпраща специфични параметри, които се предават и на сървъра за командване и контрол (C2), за да може новият клиент да бъде регистриран и включен в ботнета.

Прокси клиентът установява постоянство в заразената система чрез създаване на ключ в системния регистър, който да го активира при стартиране на системата, и чрез добавяне на планирана задача, която да проверява за нови актуализации на клиента.

„След това прокси сървърът непрекъснато събира важна информация от машината, за да осигури оптимална производителност и бърза реакция“, се обяснява в доклада на AT&T.

„Това включва всичко – от списъка с процеси и наблюдение на процесора до използването на паметта и дори проследяване на състоянието на батерията.“

Как да се защитите

AT&T препоръчва да се търси изпълнимият файл „Digital Pulse“ в „%AppData%\“ или ключ от регистъра с подобно име в „HKCU\Software\Microsoft\Windows\CurrentVersion\Run\“. Ако има такива, изследователите препоръчват да ги премахнете.

Името на планираната задача е „DigitalPulseUpdateTask“ и също трябва да бъде изтрита, за да се елиминира вероятността механизмът за обновяване на клиента да въведе отново инфекцията.

И накрая, избягвайте изтеглянето на пиратски софтуер и стартирането на изпълними файлове, получени от съмнителни места като peer-to-peer мрежи или сайт, предлагащ безплатен първокласен софтуер.

Признаците за заразяване с прокси софтуер включват намаляване на производителността и скоростта на интернет, неочаквани модели на мрежовия трафик, честа комуникация с непознати IP адреси или домейни и системни предупреждения.

Изходна нформация и инфографики: AT&T 

Източник: e-security.bg

Подобни публикации

2 декември 2024

Две болници в Англия са засегнати от кибератаки...

Миналата седмица две болници на Националната здравна служба (NHS) в...
2 декември 2024

Арестуваха Михаил Павлович Матвеев

Руските власти съобщават, че са арестували Михаил Павлович Матвеев,...
2 декември 2024

6 ключови действия за спазване на разпоредбите ...

NIS2, PCI DSS, GDPR, HIPAA или CMMC… този дълъг списък от сък...
2 декември 2024

Микролайнерът на този стартъп обещава по-евтин ...

Годината беше трудна за стартиращите компании за въздушни таксита. ...
1 декември 2024

Evil Twin WiFi Attack: Ръководство "Стъпка по с...

Добре дошли в задълбоченото изследване на WiFi атаките на злите бли...
1 декември 2024

Клуб от италианската Серия А стана жертва на ра...

Футболен клуб „Болоня 1909“ потвърди, че е претърпял атака с цел от...
30 ноември 2024

Загубите от хакове и измами с криптовалути прод...

През ноември загубите на криптовалута от хакове и измами  отново на...
Бъдете социални
Още по темата
22/11/2024

ИИ- внедряване на правилнат...

Ако 2023 г. и 2024 г....
21/11/2024

145 000 индустриални мрежи ...

Според доставчика на платформа за интернет...
20/11/2024

Приемането на повече инстру...

Въпреки че повечето лица, вземащи решения...
Последно добавени
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!