研究者らは、少なくとも 400,000 台の Windows システムにプロキシ サーバー アプリを配信する大規模なキャンペーンを発見しました。これらのデバイスはユーザーの同意なしに住宅の出口ノードとして機能し、企業はマシンを通過するプロキシ トラフィックに対して課金しています。
住宅用プロキシは、新しい IP アドレスからの大規模なクレデンシャル スタッフィング攻撃の展開に役立つため、サイバー犯罪者にとって貴重です。また、広告検証、データスクレイピング、Web サイトのテスト、プライバシー強化の再ルーティングなどの正当な目的もあります。
一部のプロキシ会社は、住宅用プロキシへのアクセスを販売し、帯域幅の共有に同意したユーザーに金銭的報酬を提供しています。
AT&T Alien Labs は本日の報告書で、400,000 ノードのプロキシ ネットワークは、プロキシ アプリケーションを配信する悪意のあるペイロードを使用して構築されたと述べています。
ボットネットの背後にいる企業はユーザーが同意したと主張していましたが、研究者らはプロキシがサイレントにデバイスにインストールされたことを発見しました。
「プロキシ Web サイトは、出口ノードはデバイスの使用について通知され同意したユーザーのみから来ていると主張していますが、Alien Labs は、マルウェア作成者が感染したシステムにプロキシをサイレントにインストールしているという証拠を持っています。」とAT&T Alien Labs
「さらに、プロキシ アプリケーションは署名されているため、ウイルス対策の検出機能がなく、セキュリティ会社の監視下に置かれます」と研究者らは付け加えた。
同じ会社が、macOS システムを標的とした AdLoad と呼ばれる悪意のあるペイロードによって作成された出口ノードを制御しており、AT&T が先週報告しました。
実際、2 つの Go ベースのバイナリ (macOS および Windows 用) は同じソース コードから生成されているように見えますが、Windows プロキシ クライアントは有効なデジタル署名を使用しているため、ウイルス対策の検出を回避しています。
プロキシウェア感染
感染は、クラックされたソフトウェアやゲームに隠されたローダーの実行から始まり、ユーザーの介入なしにバックグラウンドでプロキシ アプリケーションを自動的にダウンロードしてインストールします。
マルウェアの作成者は、インストール プロセスのインジケーターとすべての一般的なユーザー プロンプトを非表示にする特定のパラメーターを指定して Inno Setup を使用します。
プロキシ クライアントのインストール中に、マルウェアは特定のパラメータを送信します。このパラメータはコマンド アンド コントロール (C2) サーバーにも中継され、新しいクライアントを登録してボットネットに組み込むことができます。
プロキシ クライアントは、システムの起動時にレジストリ キーをアクティブ化するレジストリ キーを作成し、新しいクライアントの更新を確認するスケジュールされたタスクを追加することにより、感染したシステム上での永続性を確立します。
「プロキシは、最適なパフォーマンスと応答性を確保するために、マシンから重要な情報を継続的に収集します」とAT&Tのレポートでは説明されています。
「これには、プロセス リスト、CPU の監視、メモリ使用率、さらにはバッテリー ステータスの追跡に至るまで、あらゆるものが含まれます。」
守る方法
AT&T では、「%AppData%」で「Digital Pulse」実行可能ファイルを探すか、「HKCUSoftwareMicrosoftWindowsCurrentVersionRun」で同様の名前のレジストリ キーを探すことをお勧めします。存在する場合、研究者らはそれらを除去することを推奨しています。
スケジュールされたタスクの名前は「DigitalPulseUpdateTask」ですが、クライアント更新メカニズムが感染を再導入する可能性を排除するためにも削除する必要があります。
最後に、海賊版ソフトウェアをダウンロードしたり、ピアツーピア ネットワークやプレミアム ソフトウェアを無料で提供するサイトなどの疑わしい場所から提供された実行可能ファイルを実行したりすることは避けてください。
プロキシウェア感染の兆候には、パフォーマンスとインターネット速度の低下、予期しないネットワーク トラフィック パターン、未知の IP またはドメインとの頻繁な通信、システム アラートなどがあります。
Comments