ИБ-исследователи из DomainTools обнаружили новый рынок резидентных прокси, где, согласно рекламе, продают доступ к миллиону прокси-адресов по всему миру. Эксперты предупреждают, что BlackProxies быстро набирает популярность среди хакеров, фишеров, перекупщиков и мошенников, хотя якобы запрещает вредоносные и незаконные действия.
По словам специалистов, появление крупной платформы такого рода – это заметное событие, учитывая, что за последние пару лет правоохранительные органы закрыли несколько подобных сервисов, включая RESNET и INSORG.
В отчете отмечается, что резидентные прокси, как правило, используют IP-адреса обычных пользователей, а не адресное пространство дата-центров, что делает их идеальными для запуска торговых ботов, а также для злоумышленников, которые хотят «спрятаться» в обычным трафике. Иногда пользователи становятся прокси-серверами добровольно (за отдельную плату), но чаще это происходит из-за заражения их компьютеров, IoT-устройств и роутеров малварью.
Киберпреступники, как правило, используют резидентные прокси для повышения эффективности своих атак, скрываясь от правоохранительных органов и блокировщиков.
Операторы BlackProxies утверждают, что имеют доступ к пулу из 1 000 000 IP-адресов со всего мира, все они исходят от реальных пользователей, что обеспечивает требуемую разблокировку, низкий уровень обнаружения и хорошую скорость. Кроме того, сервис предлагает систему автоматической ротации, которая автоматически обновляет IP-адреса, гарантируя, что каждый запрос выполняется с нового адреса.
Также клиентам сервиса предоставляется панель управления со статистикой использования в реальном времени и REST API для обеспечения гибкости и, вероятно, возможности перепродажи.
Стоимость услуг BlackProxies оценивается в 14 долларов в день, 39 долларов в неделю или 89 долларов в месяц (пробный пакет стоит 4,9 доллара).
Аналитики DomainTools изучили платформу и обнаружили, что утверждения об огромном пуле IP-адресов являются ложью. На самом деле сервис располагает примерно 180 000 доступными IP-адресами. Исследователи отмечают, что это все равно немало и значительно превосходит возможности многих других платформ и ботнетов.
Также в отчете отметается, что один из инфраструктурных IP-адресов сервиса ранее был связан с другими теневыми платформами.
Издание Bleeping Computer сообщает, что в настоящее время BlackProxies активно продвигается на хакерских форумах, в темах, посвященных атакам credential stuffing и захвату учетных записей.