Et websted, der tilbyder både gratis og kommercielle proxy-servere er faktisk kører på toppen af en gigantisk botnet af hackede WordPress websteder, sikkerhed forskere fra Netlab, et netværk trussel jagt enhed af Kinesisk cyber-sikkerhed gigant Qihoo 360, har afsløret.
I en rapport offentliggjort i dag, Netlab forskere beskyldt Gratis-Sokker.i proxy service af maskeret som en front for en kriminel handling.
Forskerne sagde, at brugere, der vil bruge nogen af de proxy-servere leveret af Gratis-Sokker.på hjemmesiden ville faktisk have deres trafik ledes gennem et netværk af hackede WordPress sites spredt over hele verden.
Nye Linux.Ngioweb malware, der bruges til at bygge proxy-botnet
Disse WordPress hjemmesider er blevet hacket, og der er inficeret med en web-shell, der fungerede som en bagdør, og Linux.Ngioweb malware, der fungerede som proxy-agent.
Netlab forskere har kigget nærmere på Linux.Ngioweb malware, fordi det var en ny stamme, som ikke havde været set før. Efter at have analyseret det, de sagde, at Linux.Ngioweb indeholdt to separate kommando og kontrol (C&C) – servere.
Den første — opkaldt Fase-1 — blev brugt til at styre alle de inficerede steder (bots). Det andet sæt af C&C-servere — opkaldt Fase-2-servere — arbejdet som backconnect fuldmagter mellem Gratis-Sokker.i service og de inficerede websteder, kanaliserer trafik fra service ‘ s kunder, at de hackede WordPress sites, som derefter videreformidlet det til sin endelige destination.
Billede: Netlab
Netlab sagde også, at Linux.Ngioweb malware var faktisk en Linux-port af en Windows-malware-stamme med navnet Win32.Ngioweb, set for første gang i August 2018 af Check Point forskere. Den Windows-version, som også fungerede som en proxy-bot, der sandsynligvis anvendes på en lignende måde.
Den eneste tilføjelse til Linux-port, som blev opdaget for første gang den 27 Maj, tre uger siden, var en DGA (domain generation algoritme), der genereres af et på forhånd fastlagt Tidspunkt-1 C&C server domæne navn for hver dag, som alle de inficerede steder ville rapportere tilbage til.
Tager over botnet
Netlab forskere siger, at de revnede DGA og registrerede, at en Fase-1 C&C server domæner med henblik på at spore, botnet-aktivitet.
Den Netlab team sagde, at i løbet af den tid, de har kørt dette domæne, 2,692 WordPress sites tjekket ind, med næsten halvdelen er placeret i USA.
Billede: Netlab
Alle disse steder vil nu nødt til at blive desinficeret og har Linux.Ngioweb malware og tilstødende web-shell fjernet fra deres filsystem.
Den Netlab team har tilbudt at dele en liste over inficerede server IP-adresser med andre virksomheder og med de relevante retshåndhævende myndigheder. Kontaktoplysninger er tilgængelige i virksomhedens tekniske rapport.
Relaterede malware og it-kriminalitet dækning:
Nye Echobot malware er et smorgasbord af vulnerabilitiesFlorida city betaler $600.000 til ransomware gang at have sine data backRussian APT hacket Iranske APT ‘s infrastruktur tilbage i 2017Botnet udnytter Android Debug Bridge til mine cryptocurrency på din deviceNew Plurox malware er en bagdør, cryptominer, og orm, alt sammen pakket ind i oneRansomware bande hacks Msp’ er til at implementere ransomware på kundernes systemer Mere end 3B falske e-mails, der sendes dagligt som phishing-angreb fortsætter TechRepublicGame of Thrones er den mest malware af enhver piratkopierede TV-show CNET
Relaterede Emner:
Servere
Sikkerhed-TV
Data Management
CXO
Datacentre