Οι ερευνητές έχουν ανακαλύψει ένα νέο είδος κακόβουλου λογισμικού που μολύνει υπολογιστές σπιτιών και τους μετατρέπει σε Internet Proxies. Η Palo Alto Networks, η εταιρεία ασφαλείας που ανακάλυψε αυτό το malware, πιστεύει ότι οι υπολογιστές των χρηστών χρησιμοποιούνται από μια ρωσική εταιρία μέσα από την Web Proxy υπηρεσίας τους.
Με το όνομα ProxyBack, αυτό το κακόβουλο λογισμικό παρατηρήθηκε για πρώτη φορά τον Μάρτιο του 2014, αλλά μόλις πρόσφατα οι ερευνητές ασφαλείας κατάφεραν να καταλάβουν πώς λειτουργεί.
Σύμφωνα με τους ειδικούς της Palo Alto, το κακόβουλο λογισμικό έχει μολύνει στις περισσότερες περιπτώσεις, εκπαιδευτικά ιδρύματα στην Ευρώπη και έχει ως στόχο του κοινούς υπολογιστές, που τους μετατρέπει σε Internet Proxies καθώς παράλληλα τους χρησιμοποιεί παράνομα για να διοχετεύσει την κυκλοφορία του Internet.
Τα μολυσμένα μηχανήματα δεν χρησιμοποιούνται για να συγκαλύψουν την τοποθεσία ενός κυβερνο-απατεώνα, καθώς εξηγούν οι ερευνητές ασφαλείας, αλλά για να διαφημιστούν ως αξιόπιστοι proxy servers που βρίσκονται στην λίστα μιας online proxy υπηρεσίας που λειτουργεί έξω από τη Ρωσία.
Το ProxyBack malware δουλεύει μολύνοντας έναν υπολογιστή, δημιουργώντας μιας σύνδεσης με έναν proxy server που ελέγχεται από τους επιτιθέμενους, από όπου και λαμβάνει οδηγίες και στη συνέχεια δεσμεύοντας την κίνηση που χρειάζεται για να την προσανατολίσει σε πραγματικούς διακομιστές Web.
Κάθε μηχάνημα που μολύνεται με ProxyBack λειτουργεί ως ένα bot μέσα σε ένα μεγαλύτερο δίκτυο που ελέγχεται από τους επιτιθέμενους, οι οποίοι στέλνουν εντολές και οδηγίες ενημέρωσης μέσω απλών αιτήσεων HTTP.
Δεδομένου ότι κάθε μολυσμένο θύμα έχει τη δική του παράμετρο ID στα αιτήματα HTTP που λαμβάνει από το διακομιστή C&C και ο αριθμός αυτός σιγά-σιγά αυξάνεται κατά ένα για κάθε PC, η Palo Alto Networks αναφέρει μια καταμέτρηση εργαζομένων κατά την οποία βρέθηκαν 11.149 μολυσμένοι υπολογιστές μέχρι τον 23 Δεκέμβρη του 2015.
Αν και οι ερευνητές δεν εντόπισαν κανένα συγκεκριμένο ηλεκτρονικό μονοπάτι για να κατηγορήσουν τους φορείς του domain, buyproxy.ru, οι ερευνητές ανακάλυψαν ότι τα IP μερικών μολυσμένων υπολογιστών εμφανίστηκαν στην online προσφορά τους, ως IP κάποιων από τους διαθέσιμους proxy servers τους.
Η υπηρεσία buyproxy.ru διαφημίζει ότι λειτουργεί μεταξύ 700 και 3.000 proxy servers ανά ημέρα, ότι οι Proxies του ζούνε συνήθως μεταξύ 4 και 24 ωρών και ένας “backend proxy” χρησιμοποιείται για τη διαχείριση των εισερχόμενων συνδέσεων, ο οποίος στη συνέχεια διανείμει σε προσωρινούς proxies που έχουν διαφορετικές διευθύνσεις IP. Η περιγραφή αυτή ακούγεται πολύ σαν το ProxyBack malware C&C και τα bots του.
«Το αν οι άνθρωποι πίσω από το «buyproxy[.]ru» είναι υπεύθυνοι για τη διανομή του κακόβουλου λογισμικού ProxyBack ή όχι είναι άγνωστο, ωστόσο, είναι σαφές ότι το κακόβουλο λογισμικό ProxyBack έχει σχεδιαστεί, και χρησιμοποιείται, για την υπηρεσία τους», λέει ο Jeff White της Palo Alto.
