Търсене
Close this search box.

Масивен ботнет с 400 000 прокси сървъра

В днешния си доклад AT&T Alien Labs твърди, че прокси мрежата с 400 000 възела е изградена чрез използване на зловредни товари, които доставят прокси приложението.

Въпреки че компанията, стояща зад ботнета, твърди, че потребителите са дали съгласието си, изследователите откриват, че проксито се инсталира безшумно на устройствата.

„Въпреки че уебсайтът на проксито твърди, че изходните му възли идват само от потребители, които са били информирани и са се съгласили с използването на тяхното устройство, Alien Labs разполага с доказателства, че авторите на зловреден софтуер инсталират проксито безшумно в заразените системи“, заявяват от AT&T Alien Labs

„Освен това, тъй като приложението на проксито е подписано, то няма антивирусна детекция, минавайки под радара на решенията  за сигурност“, добавят изследователите.

Същата компания контролира изходните възли, създадени от зловреден полезен товар, наречен AdLoad, който е насочен към системи с MacOS, за което AT&T съобщи миналата седмица.

Всъщност двете базирани на Go двоични програми (за macOS и Windows) изглежда произхождат от един и същ изходен код, обаче прокси клиентът за Windows избягва антивирусното откриване поради използването на валидна цифроваподпис. сигнатура.

Инфекция с прокси софтуер

Заразяването започва с изпълнението на зареждащ модул, скрит в кракнат софтуер и игри, който изтегля и инсталира прокси приложението автоматично във фонов режим без взаимодействие с потребителя.

Авторите на зловредния софтуер използват Inno Setup със специфични параметри, които скриват всякакви индикатори за процеса на инсталиране и всички типични за потребителя подкани.

По време на инсталирането на прокси клиента злонамереният софтуер изпраща специфични параметри, които се предават и на сървъра за командване и контрол (C2), за да може новият клиент да бъде регистриран и включен в ботнета.

Прокси клиентът установява постоянство в заразената система чрез създаване на ключ в системния регистър, който да го активира при стартиране на системата, и чрез добавяне на планирана задача, която да проверява за нови актуализации на клиента.

„След това прокси сървърът непрекъснато събира важна информация от машината, за да осигури оптимална производителност и бърза реакция“, се обяснява в доклада на AT&T.

„Това включва всичко – от списъка с процеси и наблюдение на процесора до използването на паметта и дори проследяване на състоянието на батерията.“

Как да се защитите

AT&T препоръчва да се търси изпълнимият файл „Digital Pulse“ в „%AppData%\“ или ключ от регистъра с подобно име в „HKCU\Software\Microsoft\Windows\CurrentVersion\Run\“. Ако има такива, изследователите препоръчват да ги премахнете.

Името на планираната задача е „DigitalPulseUpdateTask“ и също трябва да бъде изтрита, за да се елиминира вероятността механизмът за обновяване на клиента да въведе отново инфекцията.

И накрая, избягвайте изтеглянето на пиратски софтуер и стартирането на изпълними файлове, получени от съмнителни места като peer-to-peer мрежи или сайт, предлагащ безплатен първокласен софтуер.

Признаците за заразяване с прокси софтуер включват намаляване на производителността и скоростта на интернет, неочаквани модели на мрежовия трафик, честа комуникация с непознати IP адреси или домейни и системни предупреждения.

Изходна нформация и инфографики: AT&T 

Източник: e-security.bg

Подобни публикации

21 април 2024

Как OpenAI и Microsoft събудиха заспал софтуере...

Само преди десетилетие най-големият технологичен звяр в света беше ...
20 април 2024

Готви се нова методика за удостоверяване на съо...

Актуализирането на методиката за удостоверяване на съответствието н...
20 април 2024

Критична уязвимост на Forminator за WordPress и...

Плъгинът Forminator за WordPress, използван в над 500 000 сайта, е ...
20 април 2024

Бандата "Медуза" нанася нов удар

Въпреки че общинската агенция уверява обществеността, че малцина са...
19 април 2024

Пробиха MITRE чрез нулевите дни на Ivanti

Корпорацията MITRE твърди, че подкрепяна от държавата хакерска груп...
19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
Бъдете социални
Още по темата
21/04/2024

Как OpenAI и Microsoft събу...

Само преди десетилетие най-големият технологичен звяр...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
17/04/2024

Последни тенденции при злов...

В днешната дигитална ера киберсигурността се...
Последно добавени
21/04/2024

Как OpenAI и Microsoft събу...

Само преди десетилетие най-големият технологичен звяр...
20/04/2024

Готви се нова методика за у...

Актуализирането на методиката за удостоверяване на...
20/04/2024

Критична уязвимост на Formi...

Плъгинът Forminator за WordPress, използван в...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!