Троян Bunitu прогоняет через зараженные машины VPN-трафик

Специалисты компании Malwarebytes рассказали в официальном блоге о необычной находке – троян Bunitu Proxy научился новым трюкам. Малварь, превращающая зараженные машины в удаленные порты для неавторизованного трафика, научилась не просто распространяться вместе с adware-софтом, но интегрировалась с популярным VPN-сервисом VIP72.

Malwarebytes уже писали о трояне Bunitu Proxy в середине июля текущего года. Троян заставляет зараженные машины работать как прокси для удаленных клиентов. Попав в систему, Bunitu Proxy открывает удаленное соединение, регистрируется в клиентской базе (отсылая свой адрес и информацию об открытых портах) и начинает прием соединений.
Такое может не только ощутимо замедлить сетевой трафик, также возникает опасность перенаправления на зараженный IP любого нелегального трафика и активности. По сути, хакеры могут просто подставить ничего не подозревающего пользователя.

Bunitu Proxy – часть крупного ботнета, за развитием которого сейчас наблюдают эксперты. Согласно последним сообщениям, Malwarebytes, совместно с компанией Sentrant, выявили прочную связь ботнета с известным VPN-сервисом.

По словам Джерома Сегуры (Jerome Segura) – главного исследователя в области ИБ в Malwarebytes, ранее Bunitu Proxy входил в состав эксплоит-китов Neutrino и Angler и был замечен в атаках с применением зараженной рекламы. Более троян зараженной рекламой не занимается, теперь операторы ботнета переключились на VPN.

Согласно исследованию компании, в криминале замешан популярный бюджетный VPN-сервис VIP72. В ходе исследования, Malwarebytes создали собственную приманку для Bunitu и отреверсили C&C протокол хакеров, создав скрипт, имитирующий запрос на регистрацию прокси. Когда приманка сработала и была зарегистрирована, специалисты смогли оценить, сколько запросов получено от VIP72.
Исследователи также зарегистрировали аккаунт на VIP72, чтобы понять, почему клиенты уже подключенные к прокси, посещают вторую прокси. Оказалось, что приманка Malwarebytes уже числится в доступном списке выходных IP-адресов.

Хотя это и не доказывает, что VIP72 сознательно используют ботнет, а не просто сканируют сеть на предмет открытых прокси, не требующих аутентификации, исследователи обнаружили странный «баг». Команда зарегистрировала Bunitu прокси, а затем сменила IP приманки на другой, зарегистрировавшись вновь, под ID того же бота. Не помогло: «Если VIP72 просто сканирует сеть, в поисках открытых прокси, возможно, что они идентифицировали обе наших прокси (старую и на новом IP) в разное время. Но без доступа к серверу Bunitu C2 и ID бота, они не смогли бы сопоставить два разных IP с одной прокси. Это доказывает, что оператор VIP72 имеет доступ к ботнету Bunitu и использует в своей работе зараженные машины».

В заключение специалисты Malwarebytes делают вывод, что операторы ботнета продают ботов разным компаниям, основываясь на географии заражений. Так инфицированные машины США и Канады уходят в распоряжение VPN-провайдера VIP72, в то время как европейский трафик определенно отдан какому-то другому, крупному поставщику VPN-услуг.

Источник: xakep.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s