Proton66 подслонява мащабни кибератаки и зловредни кампании

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Изследователи по киберсигурност предупреждават, че руският автономен хостинг оператор Proton66 е свързан с така наречени „bulletproof“ услуги, които поддържат множество злонамерени кампании по целия свят.

Proton66 (ASN: AS198953) представлява анонимна автономна система, свързана с по-широка инфраструктура, управлявана от руски гражданин, който предлага устойчив на разследвания хостинг на киберпрестъпници.

Вълна от атаки от началото на 2025 г.

От януари 2025 г. анализаторите на Trustwave SpiderLabs наблюдават рязко увеличение на злонамерени атаки, идващи от тази автономна система. Атаките включват:

  • масово сканиране на уязвимости

  • атаки чрез изпробване на пароли (brute force)

  • експлоатация на известни уязвимости

Основни цели са технологични и финансови организации по целия свят, както и организации с нестопанска цел и инженерни структури.

Един от IP адресите, свързан с Proton66, е използван в атаки, които са довели до заразяване със SuperBlack рансъмуер – нова форма на изнудващ зловреден софтуер.

Експлоатирани уязвимости

Злоупотребите включват експлоатация на известни уязвимости в устройства и системи:

  • D-Link NAS (CVE-2024-10914)

  • Fortinet FortiOS (CVE-2024-55591 и CVE-2025-24472)

  • Mitel MiCollab (CVE-2024-41713)

  • Palo Alto Networks PAN-OS (CVE-2025-0108)

Фалшиви страници в Google Play и злонамерени скриптове

Proton66 е свързан и с кампании, насочени към потребители на Android чрез фалшиви страници, имитиращи Google Play, достъпни на английски, френски, гръцки и испански. Злонамерените скриптове са били вмъкнати в компрометирани WordPress сайтове и хоствани на IP адреси, свързани с Proton66.

Впоследствие, част от домейните, обслужващи тези скриптове, са били преместени към инфраструктура на Chang Way Technologies – възможен опит за прикриване на произхода.

Зловреден софтуер XWorm и Strela Stealer

През март 2025 г., услуги, хоствани в мрежата на Proton66, са разпространявали зловреден код от веригата за заразяване със XWorm – троянец, използван в социално инженерство, насочен към корейскоговорящи потребители чрез чат групи за инвестиции.

Също така, Proton66 е бил използван за разпространение на Strela Stealer – малуер, насочен към потребители на имейл клиенти Thunderbird и Outlook в Австрия, Германия, Лихтенщайн, Люксембург и Швейцария.

Командни сървъри за рансъмуер

SpiderLabs съобщава, че в мрежата на Proton66 се намират множество командни сървъри (C&C), включително такива, свързани с WeaXor – вариант на известния Mallox рансъмуер.

#зловреден код, # измами, # рансъмуер, # фишинг
По материали от Интернет

Подобни

Secret Blizzard превръща Kazuar в модулен P2P шпионски ботнет
18.05.2026
Russia_bot
Supply chain атака срещу npm
18.05.2026
npm
GhostLock: нова техника блокира достъпа до файлове
13.05.2026
lock
Jenkins plugin на Checkmarx разпространявал malware след supply-chain атака
12.05.2026
IMG-MC-malwareprotectiontest
MuddyWater прикрива кибершпионаж зад фалшива ransomware операция
12.05.2026
Iran-fingerprint
Злонамерена кампания използва Google Ads и Claude.ai чатове
11.05.2026
cybersecurity-6949298_1280

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy