Les chercheurs ont découvert une campagne massive qui a fourni des applications de serveur proxy à au moins 400 000 systèmes Windows. Les appareils agissent comme des nœuds de sortie résidentiels sans le consentement des utilisateurs et une entreprise facture le trafic proxy passant par les machines.
Les proxys résidentiels sont précieux pour les cybercriminels car ils peuvent aider à déployer des attaques de bourrage d’informations d’identification à grande échelle à partir de nouvelles adresses IP. Ils ont également des objectifs légitimes tels que la vérification des publicités, le grattage des données, les tests de sites Web ou le réacheminement améliorant la confidentialité.
Certaines sociétés de proxy vendent l’accès à des proxys résidentiels et offrent des récompenses monétaires aux utilisateurs qui acceptent de partager leur bande passante.
Dans un rapport publié aujourd’hui, AT&T Alien Labs indique que le réseau proxy de 400 000 nœuds a été construit en utilisant des charges utiles malveillantes qui ont fourni l’application proxy.
Bien que la société à l’origine du botnet ait affirmé que les utilisateurs avaient donné leur consentement, les chercheurs ont découvert que le proxy s’installait silencieusement sur les appareils.
« Bien que le site Web proxy affirme que ses nœuds de sortie proviennent uniquement d’utilisateurs qui ont été informés et ont accepté l’utilisation de leur appareil, Alien Labs a des preuves que les auteurs de logiciels malveillants installent le proxy en silence dans les systèmes infectés », AT&T Alien Labs
« De plus, comme l’application proxy est signée, elle n’a aucune détection antivirus, passant sous le radar des sociétés de sécurité », ont ajouté les chercheurs.
La même société contrôlait les nœuds de sortie créés par une charge utile malveillante appelée AdLoad qui ciblait les systèmes macOS, comme AT&T l’a signalé la semaine dernière.
En fait, les deux binaires basés sur Go (pour macOS et Windows) semblent provenir du même code source, cependant, le client proxy Windows échappe à la détection antivirus en raison de l’utilisation d’une signature numérique valide.
Infection par proxyware
L’infection commence par l’exécution d’un chargeur caché dans des logiciels et des jeux piratés, qui télécharge et installe automatiquement l’application proxy en arrière-plan sans interaction de l’utilisateur.
Les auteurs de logiciels malveillants utilisent Inno Setup avec des paramètres spécifiques qui masquent tous les indicateurs du processus d’installation et toutes les invites utilisateur typiques.
Lors de l’installation du client proxy, le logiciel malveillant envoie des paramètres spécifiques, qui sont également relayés au serveur de commande et de contrôle (C2) afin que le nouveau client puisse être enregistré et intégré au botnet.
Le client proxy établit la persistance sur le système infecté en créant une clé de registre pour l’activer au démarrage du système et en ajoutant une tâche planifiée qui vérifie les nouvelles mises à jour du client.
« Le proxy recueille ensuite en continu des informations vitales de la machine pour garantir des performances et une réactivité optimales », explique le rapport d’AT&T.
« Cela inclut tout, de la liste des processus et de la surveillance du processeur à l’utilisation de la mémoire et même au suivi de l’état de la batterie. »
Comment protéger
AT&T recommande de rechercher un exécutable « Digital Pulse » sur « %AppData%\ » ou une clé de registre portant le même nom sur « HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ ». S’il y en a, les chercheurs recommandent de les retirer.
Le nom de la tâche planifiée est « DigitalPulseUpdateTask » et doit également être supprimé pour éliminer le risque que le mécanisme de mise à jour du client réintroduise l’infection.
Enfin, évitez de télécharger des logiciels piratés et d’exécuter des exécutables provenant d’emplacements douteux tels que des réseaux peer-to-peer ou des sites proposant gratuitement des logiciels premium.
Les signes d’infection par proxyware incluent une dégradation des performances et de la vitesse d’Internet, des modèles de trafic réseau inattendus, des communications fréquentes avec des adresses IP ou des domaines inconnus et des alertes système.