Sommario
I ricercatori hanno scoperto una vasta campagna che ha portato all’installazione di app proxy su almeno 400.000 sistemi Windows. Questi dispositivi ora agiscono come nodi di uscita residenziali senza il consenso degli utenti, e una società sta fatturando per il traffico proxy che passa attraverso queste macchine.
Proxies residenziali: un doppio uso
I proxy residenziali sono preziosi per i cybercriminali in quanto possono aiutare a lanciare attacchi di credential stuffing su larga scala da nuovi indirizzi IP. Tuttavia, hanno anche scopi legittimi come la verifica di annunci, lo scraping di dati, il testing di siti web o il reindirizzamento per migliorare la privacy.
Come è stata costruita la rete proxy
Secondo un rapporto di AT&T Alien Labs, la rete proxy da 400.000 nodi è stata costruita utilizzando payload dannosi che hanno consegnato l’applicazione proxy. Nonostante la società dietro al botnet affermi che gli utenti abbiano dato il loro consenso, i ricercatori hanno scoperto che il proxy è stato installato silenziosamente sui dispositivi. Inoltre, poiché l’applicazione proxy è firmata, non viene rilevata dagli antivirus, sfuggendo così alla vista delle società di sicurezza.
Infezione da Proxyware
L’infezione inizia con l’esecuzione di un loader nascosto in software e giochi crackati, che scarica e installa automaticamente l’applicazione proxy in background senza interazione dell’utente. Durante l’installazione del client proxy, il malware invia parametri specifici, che vengono anche inviati al server di comando e controllo (C2) in modo che il nuovo client possa essere registrato e incorporato nel botnet.
Come proteggersi
AT&T consiglia di cercare un eseguibile “Digital Pulse” in “%AppData%\” o una chiave di registro con nome simile in “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\”. Se presenti, i ricercatori raccomandano di rimuoverli. Si consiglia inoltre di evitare di scaricare software piratato e di eseguire eseguibili provenienti da fonti dubbie come reti peer-to-peer o siti che offrono software premium gratuitamente.
