В днешния си доклад AT&T Alien Labs твърди, че прокси мрежата с 400 000 възела е изградена чрез използване на зловредни товари, които доставят прокси приложението.

Въпреки че компанията, стояща зад ботнета, твърди, че потребителите са дали съгласието си, изследователите откриват, че проксито се инсталира безшумно на устройствата.

„Въпреки че уебсайтът на проксито твърди, че изходните му възли идват само от потребители, които са били информирани и са се съгласили с използването на тяхното устройство, Alien Labs разполага с доказателства, че авторите на зловреден софтуер инсталират проксито безшумно в заразените системи“, заявяват от AT&T Alien Labs

„Освен това, тъй като приложението на проксито е подписано, то няма антивирусна детекция, минавайки под радара на решенията  за сигурност“, добавят изследователите.

Същата компания контролира изходните възли, създадени от зловреден полезен товар, наречен AdLoad, който е насочен към системи с MacOS, за което AT&T съобщи миналата седмица.

Всъщност двете базирани на Go двоични програми (за macOS и Windows) изглежда произхождат от един и същ изходен код, обаче прокси клиентът за Windows избягва антивирусното откриване поради използването на валидна цифроваподпис. сигнатура.

Инфекция с прокси софтуер

Заразяването започва с изпълнението на зареждащ модул, скрит в кракнат софтуер и игри, който изтегля и инсталира прокси приложението автоматично във фонов режим без взаимодействие с потребителя.

Авторите на зловредния софтуер използват Inno Setup със специфични параметри, които скриват всякакви индикатори за процеса на инсталиране и всички типични за потребителя подкани.

По време на инсталирането на прокси клиента злонамереният софтуер изпраща специфични параметри, които се предават и на сървъра за командване и контрол (C2), за да може новият клиент да бъде регистриран и включен в ботнета.

Прокси клиентът установява постоянство в заразената система чрез създаване на ключ в системния регистър, който да го активира при стартиране на системата, и чрез добавяне на планирана задача, която да проверява за нови актуализации на клиента.

„След това прокси сървърът непрекъснато събира важна информация от машината, за да осигури оптимална производителност и бърза реакция“, се обяснява в доклада на AT&T.

„Това включва всичко – от списъка с процеси и наблюдение на процесора до използването на паметта и дори проследяване на състоянието на батерията.“

Как да се защитите

AT&T препоръчва да се търси изпълнимият файл „Digital Pulse“ в „%AppData%“ или ключ от регистъра с подобно име в „HKCUSoftwareMicrosoftWindowsCurrentVersionRun“. Ако има такива, изследователите препоръчват да ги премахнете.

Името на планираната задача е „DigitalPulseUpdateTask“ и също трябва да бъде изтрита, за да се елиминира вероятността механизмът за обновяване на клиента да въведе отново инфекцията.

И накрая, избягвайте изтеглянето на пиратски софтуер и стартирането на изпълними файлове, получени от съмнителни места като peer-to-peer мрежи или сайт, предлагащ безплатен първокласен софтуер.

Признаците за заразяване с прокси софтуер включват намаляване на производителността и скоростта на интернет, неочаквани модели на мрежовия трафик, честа комуникация с непознати IP адреси или домейни и системни предупреждения.

Изходна нформация и инфографики: AT&T