Специалисты компании Malwarebytes рассказали в официальном блоге о необычной находке – троян Bunitu Proxy научился новым трюкам. Малварь, превращающая зараженные машины в удаленные порты для неавторизованного трафика, научилась не просто распространяться вместе с adware-софтом, но интегрировалась с популярным VPN-сервисом VIP72.

Malwarebytes уже писали о трояне Bunitu Proxy в середине июля текущего года. Троян заставляет зараженные машины работать как прокси для удаленных клиентов. Попав в систему, Bunitu Proxy открывает удаленное соединение, регистрируется в клиентской базе (отсылая свой адрес и информацию об открытых портах) и начинает прием соединений.
Такое может не только ощутимо замедлить сетевой трафик, также возникает опасность перенаправления на зараженный IP любого нелегального трафика и активности. По сути, хакеры могут просто подставить ничего не подозревающего пользователя.

Bunitu Proxy – часть крупного ботнета, за развитием которого сейчас наблюдают эксперты. Согласно последним сообщениям, Malwarebytes, совместно с компанией Sentrant, выявили прочную связь ботнета с известным VPN-сервисом.

По словам Джерома Сегуры (Jerome Segura) – главного исследователя в области ИБ в Malwarebytes, ранее Bunitu Proxy входил в состав эксплоит-китов Neutrino и Angler и был замечен в атаках с применением зараженной рекламы. Более троян зараженной рекламой не занимается, теперь операторы ботнета переключились на VPN.

График заражения за июль
График заражения за июль
«Мы полагаем, что операторы ботнета Bunitu продают доступ к зараженным прокси-ботам, чтобы монетизировать ботнет. Люди, пользующиеся услугами определенных VPN-провайдеров, чтобы сохранить свою приватность, даже не догадываются, что в качестве бекэнда те используют криминальную инфраструктуру из зараженных компьютеров по всему миру», — пишет Сегуро.

Согласно исследованию компании, в криминале замешан популярный бюджетный VPN-сервис VIP72. В ходе исследования, Malwarebytes создали собственную приманку для Bunitu и отреверсили C&C протокол хакеров, создав скрипт, имитирующий запрос на регистрацию прокси. Когда приманка сработала и была зарегистрирована, специалисты смогли оценить, сколько запросов получено от VIP72.
Исследователи также зарегистрировали аккаунт на VIP72, чтобы понять, почему клиенты уже подключенные к прокси, посещают вторую прокси. Оказалось, что приманка Malwarebytes уже числится в доступном списке выходных IP-адресов.

Хотя это и не доказывает, что VIP72 сознательно используют ботнет, а не просто сканируют сеть на предмет открытых прокси, не требующих аутентификации, исследователи обнаружили странный «баг». Команда зарегистрировала Bunitu прокси, а затем сменила IP приманки на другой, зарегистрировавшись вновь, под ID того же бота. Не помогло:

«Если VIP72 просто сканирует сеть, в поисках открытых прокси, возможно, что они идентифицировали обе наших прокси (старую и на новом IP) в разное время. Но без доступа к серверу Bunitu C2 и ID бота, они не смогли бы сопоставить два разных IP с одной прокси.
Это доказывает, что оператор VIP72 имеет доступ к ботнету Bunitu и использует в своей работе зараженные машины».

В заключение специалисты Malwarebytes делают вывод, что операторы ботнета продают ботов разным компаниям, основываясь на географии заражений. Так инфицированные машины США и Канады уходят в распоряжение VPN-провайдера VIP72, в то время как европейский трафик определенно отдан какому-то другому, крупному поставщику VPN-услуг. Какому именно – исследователи обещают разобраться в ближайшее время.

country
График заражения по странам

Фото: twicepix@flickr, Malwarebytes



2 комментария

  1. k0t1k

    06.08.2015 at 21:14

    Когда читаю такие вещи, так и хочется стать крутым хацкером и грести бабло большой лопатой! Но увы… Кто меня научит?

Оставить мнение