Троян Bunitu прогоняет через зараженные машины VPN-трафик

Специалисты компании Malwarebytes рассказали в официальном блоге о необычной находке – троян Bunitu Proxy научился новым трюкам. Малварь, превращающая зараженные машины в удаленные порты для неавторизованного трафика, научилась не просто распространяться вместе с adware-софтом, но интегрировалась с популярным VPN-сервисом VIP72.

Malwarebytes уже писали о трояне Bunitu Proxy в середине июля текущего года. Троян заставляет зараженные машины работать как прокси для удаленных клиентов. Попав в систему, Bunitu Proxy открывает удаленное соединение, регистрируется в клиентской базе (отсылая свой адрес и информацию об открытых портах) и начинает прием соединений.
Такое может не только ощутимо замедлить сетевой трафик, также возникает опасность перенаправления на зараженный IP любого нелегального трафика и активности. По сути, хакеры могут просто подставить ничего не подозревающего пользователя.

Bunitu Proxy – часть крупного ботнета, за развитием которого сейчас наблюдают эксперты. Согласно последним сообщениям, Malwarebytes, совместно с компанией Sentrant, выявили прочную связь ботнета с известным VPN-сервисом.

По словам Джерома Сегуры (Jerome Segura) – главного исследователя в области ИБ в Malwarebytes, ранее Bunitu Proxy входил в состав эксплоит-китов Neutrino и Angler и был замечен в атаках с применением зараженной рекламы. Более троян зараженной рекламой не занимается, теперь операторы ботнета переключились на VPN.

График заражения за июль
«Мы полагаем, что операторы ботнета Bunitu продают доступ к зараженным прокси-ботам, чтобы монетизировать ботнет. Люди, пользующиеся услугами определенных VPN-провайдеров, чтобы сохранить свою приватность, даже не догадываются, что в качестве бекэнда те используют криминальную инфраструктуру из зараженных компьютеров по всему миру», — пишет Сегуро.

Согласно исследованию компании, в криминале замешан популярный бюджетный VPN-сервис VIP72. В ходе исследования, Malwarebytes создали собственную приманку для Bunitu и отреверсили C&C протокол хакеров, создав скрипт, имитирующий запрос на регистрацию прокси. Когда приманка сработала и была зарегистрирована, специалисты смогли оценить, сколько запросов получено от VIP72.
Исследователи также зарегистрировали аккаунт на VIP72, чтобы понять, почему клиенты уже подключенные к прокси, посещают вторую прокси. Оказалось, что приманка Malwarebytes уже числится в доступном списке выходных IP-адресов.

Хотя это и не доказывает, что VIP72 сознательно используют ботнет, а не просто сканируют сеть на предмет открытых прокси, не требующих аутентификации, исследователи обнаружили странный «баг». Команда зарегистрировала Bunitu прокси, а затем сменила IP приманки на другой, зарегистрировавшись вновь, под ID того же бота. Не помогло:

«Если VIP72 просто сканирует сеть, в поисках открытых прокси, возможно, что они идентифицировали обе наших прокси (старую и на новом IP) в разное время. Но без доступа к серверу Bunitu C2 и ID бота, они не смогли бы сопоставить два разных IP с одной прокси.
Это доказывает, что оператор VIP72 имеет доступ к ботнету Bunitu и использует в своей работе зараженные машины».

В заключение специалисты Malwarebytes делают вывод, что операторы ботнета продают ботов разным компаниям, основываясь на географии заражений. Так инфицированные машины США и Канады уходят в распоряжение VPN-провайдера VIP72, в то время как европейский трафик определенно отдан какому-то другому, крупному поставщику VPN-услуг. Какому именно – исследователи обещают разобраться в ближайшее время.

График заражения по странам

Фото: twicepix@flickr, Malwarebytes

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (2)

  • Когда читаю такие вещи, так и хочется стать крутым хацкером и грести бабло большой лопатой! Но увы... Кто меня научит?

Похожие материалы