| 0 |
|
Три месяца назад специалисты Symantec начали изучение фрагмента вредоноса Backdoor.Proxybox — он был обнаружен еще в 2010 г. но недавно его активность стала значительно расти. В ходе исследования была получена интересная информация, позволяющая сделать вывод о размере ботнета и авторах вредоносной программы. Этот троянец имеет функции руткита и преобразует инфицированный ПК в SOCKS прокси-сервер, причем руткит-компонент применяет ранее неизвестные техники для предотвращения доступа к другим файлам вредоноса, что повышает устойчивость образца.
Но наиболее интересен способ, которым хакеры используют зараженные машины. Обычно такие ПК объединяются в ботсеть, которая участвует в DDoS атаках, занимается распространением спама, расшифровкой CAPTCHA тестов на веб-сайтах, накручиванием числа кликов по ссылке, либо банковским мошенничеством. Но в данном случае ботсеть использовалась совершенно по-другому — для управления коммерческим прокси-сервисом Proxybox.name.
Прокси-серверы позволяют скрывать реальные IP-адреса пользователей, и обычно используются, чтобы обойти попытки цензуры в интернете, региональные ограничения доступа и пр. Полностью автономный и прозрачный SOCKS прокси-сервер (который может направлять трафик любого приложения, а не только браузера) найти непросто — именно эту услугу и предлагал сервис Proxybox.
Всего за $25 в месяц пользователь получал доступ к 150 прокси-серверам в нужных ему странах, а за $40 в месяц — к неограниченному числу серверов. При этом договор предусматривал, что оператор не будет хранить логи доступа — идеальное предложение для киберпреступников. Операторы Proxybox гарантировали наличие онлайн 2 тыс прокси-серверов, но на самом деле, утверждают эксперты, число активных ботов в сети в любой момент времени составляло около 40 тыс.
В Symantec полагают, что корни Proxybox нужно искать в России.
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
