Эксперты AT&T Alien Labs обнаружили масштабную кампанию, в ходе которой прокси-приложения были установлены как минимум на 400 000 компьютеров под управлением Windows. В итоге зараженные машины превращались в резидентные прокси (без ведома и согласия их владельцев).
Резидентные прокси, как правило, используют IP-адреса обычных пользователей, а не адресное пространство дата-центров, что делает их идеальным решением для запуска торговых ботов, а также для злоумышленников, которые хотят «спрятаться» в обычным трафике, организуют атаки типа credential stuffing и так далее.
Некоторые компании продают доступ к резидентным прокси и предлагают денежное вознаграждение пользователям, которые соглашаются установить прокси-приложения в свою систему.
Однако исследователи AT&T Alien Labs пишут, что обнаруженная ими прокси-сеть из 400 000 узлов была построена с использованием малвари. Хотя неназванная компания, стоящая за эти ботнетом, утверждает, что пользователи дали свое согласие на установку прокси-софта, исследователи говорят, что установка происходила в фоновом режиме и была скрыта от человеческих глаз.
«Поскольку прокси-приложение подписано с использованием действительной цифровой подписи, оно не обнаруживается антивирусами и остается вне поля зрения защитных решений», — добавляют исследователи.
Заражение начинается с запуска загрузчика, который скрывается во взломанном софте и играх. Этот загрузчик автоматически скачивает и устанавливает в систему прокси-приложение в фоновом режиме, без какого-либо взаимодействия с пользователем. Авторы малвари используют Inno Setup с определенными параметрами, которые скрывают любые индикаторы процесса установки и все обычные для таких случаев подсказки.
Во время установки прокси-клиента вредоносное ПО передает определенные параметры на свой управляющий сервер, чтобы новый клиент был зарегистрирован и включен в ботнет.
Прокси-клиент закрепляется в зараженной системе, добавляясь в реестр для активации при каждой загрузке системы, а также создает запланированную задачу для проверки обновлений.
«После этого прокси-сервер непрерывно собирает важную информацию о машине [жертвы], чтобы обеспечить оптимальную производительность и время отклика, — говорят специалисты. — Сбор данных включает в себя множество всего, начиная от списка процессов и мониторинга ЦП до использования памяти и даже отслеживания состояния батареи».
Среди индикаторов компрометации эксперты перечисляют исполняемый файл Digital Pulse в %AppData%\ и ключ реестра с аналогичным названием в HKCU\Software\Microsoft\Windows\CurrentVersion\Run\. Если таковые обнаружены, исследователи рекомендуют их удалить.
Имя упомянутой выше запланированной задачи — DigitalPulseUpdateTask, и ее тоже следует удалить, чтобы исключить возможность повторного заражения через обновление клиента.
В целом для защиты от подобных атак исследователи советуют избегать загрузки пиратского ПО и запуска исполняемых файлов из сомнительных источников.