Pesquisadores descobriram uma grande campanha que entregou aplicativos de servidor proxy para pelo menos 400.000 sistemas Windows.
Os dispositivos atuam como nós de saída residenciais sem o consentimento dos usuários e uma empresa está cobrando pelo tráfego proxy que passa pelas máquinas.
Proxies residenciais são valiosos para os cibercriminosos porque podem ajudar a implementar ataques de aproveitamento de credenciais em grande escala a partir de novos endereços IP.
Eles também têm propósitos legítimos, como verificação de publicidade, scraping de dados, teste de sites ou redirecionamento que aumenta a privacidade.
Algumas empresas de proxy vendem acesso a proxies residenciais e oferecem recompensas monetárias a usuários que concordam em compartilhar sua largura de banda.
Em um relatório hoje, o AT&T Alien Labs diz que a rede proxy de 400.000 nós foi construída usando payloads maliciosos que entregaram o aplicativo proxy.
Apesar da empresa por trás do botnet afirmar que os usuários deram seu consentimento, os pesquisadores descobriram que o proxy foi instalado silenciosamente nos dispositivos.
"Além disso, como o aplicativo proxy é assinado, ele não tem detecção de antivírus, passando despercebido pelas empresas de segurança", acrescentaram os pesquisadores.
A mesma empresa controlava nós de saída criados por uma carga maliciosa chamada AdLoad que visava sistemas macOS, que a AT&T reportou na semana passada.
Na verdade, os dois binários baseados em Go (para macOS e Windows) parecem ter origem no mesmo código fonte, porém, o cliente proxy do Windows evita a detecção de antivírus devido ao uso de uma assinatura digital válida.
A infecção começa com a execução de um carregador escondido em software e jogos crackeados, que baixa e instala o aplicativo proxy automaticamente em segundo plano sem interação do usuário.
Os autores do malware usam o Inno Setup com parâmetros específicos que escondem quaisquer indicadores do processo de instalação e todas as solicitações típicas do usuário.
Durante a instalação do cliente proxy, o malware envia parâmetros específicos, que também são encaminhados ao servidor de comando e controle (C2) para que o novo cliente possa ser registrado e incorporado à rede botnet.
O cliente proxy estabelece persistência no sistema infectado criando uma chave de registro para ativá-lo quando o sistema inicializa e adicionando uma tarefa agendada para verificar se há novas atualizações do cliente.
"O proxy então coleta continuamente informações vitais da máquina para garantir o máximo de desempenho e responsividade", explica o relatório da AT&T.
"Isso inclui tudo, desde a lista de processos e o monitoramento da CPU à utilização da memória e até o monitoramento do estado da bateria."
A AT&T recomenda a procura por um executável "Digital Pulse" em "%AppData%\" ou uma chave de Registro com nome semelhante em "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\."
Se alguma estiver presente, os pesquisadores recomendam removê-la.
O nome da tarefa agendada é "DigitalPulseUpdateTask" e também deve ser excluída para eliminar a chance do mecanismo de atualização do cliente reintroduzir a infecção.
Por fim, evite baixar software pirata e executar executáveis de locais duvidosos como redes peer-to-peer ou sites que oferecem software premium gratuitamente.
Sinais de infecção por proxyware incluem degradação de desempenho e velocidade da internet, padrões de tráfego de rede inesperados, comunicação frequente com IPs ou domínios desconhecidos e alertas do sistema.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...