Atores de ameaças estão aproveitando o acesso a sistemas Windows e macOS infectados por malware para implantar um aplicativo proxy, relata o Alien Labs da AT&T.
Até o momento, os pesquisadores do AT&T Alien Labs identificaram mais de 400.000 sistemas que atuam como nós de saída de proxy nessa rede. No entanto, não está claro quantos deles foram infectados, e a empresa que oferece o serviço de proxy afirma que todos os dispositivos pertencem a usuários que estão cientes da funcionalidade do aplicativo proxy.
Na semana passada, a empresa disse ter identificado aproximadamente 10.000 sistemas macOS comportando-se como nós de saída do proxy, com alguns deles potencialmente reaproveitados após serem infectados com o adware AdLoad.
Os pesquisadores acreditam que o AdLoad pode estar executando uma campanha de pagamento por instalação, monetizando o acesso aos sistemas macOS infectados, implantando o aplicativo de proxy legítimo neles.
“Alien Labs identificou mais de 10.000 IPs chegando aos servidores proxy a cada semana que têm o potencial de serem nós de saída do proxy. Não está claro se todos esses sistemas foram infectados ou estão oferecendo voluntariamente seus sistemas como proxies, mas pode ser indicativo de uma infecção maior globalmente”, observou o AT&T Alien Labs na semana passada.
Em um novo relatório na quarta-feira, os pesquisadores fornecem detalhes sobre um Botnet de proxy de 400.000 fortes que parece ter sido criado como resultado de uma campanha de infecção semelhante, mas focada em máquinas Windows.
“Alien Labs tem evidências de que os criadores de malware estão instalando o proxy silenciosamente em sistemas infectados. Ademais, como o aplicativo proxy é assinado, ele não tem detecção de antivírus, passando despercebido pelas empresas de segurança”, observam os pesquisadores.
Ao longo de uma semana, os pesquisadores observaram mais de 1.000 novas amostras de malware que entregavam o mesmo aplicativo proxy aos sistemas infectados.
O proxy é escrito na linguagem de programação Go e compartilha código-fonte semelhante entre macOS e Windows. Ao contrário do aplicativo do Windows, no entanto, a variante do macOS é detectada como maliciosa por vários mecanismos antivírus.
Depois de infectar um sistema, o malware baixa e instala silenciosamente o aplicativo proxy, sem exigir interação do usuário. Malware adicional geralmente é implantado junto com o aplicativo assinado.
O proxy foi visto coletando grandes quantidades de informações dos sistemas em que está sendo executado, para se adaptar às operações do sistema e se comunicando com seu servidor de comando e controle (C&C) pela porta 7001, para receber instruções.
“O aumento do malware que fornece aplicativos de proxy como um investimento lucrativo, facilitado por programas afiliados, destaca a natureza astuta das táticas dos adversários. Esses proxies, instalados secretamente por meio de ofertas atraentes ou software comprometido, servem como canais para ganhos financeiros não autorizados”, observa o AT&T Alien Labs.