En webbplats som erbjuder både gratis och kommersiella proxy-servrar är faktiskt körs på toppen av ett gigantiskt botnät hackade WordPress webbplatser, säkerhet forskare från Netlab, ett nätverk hot jakt enhet av Kinesiska it-säkerhet jätte Qihoo 360, har avslöjat.
I en rapport som publiceras idag, Netlab forskare anklagade Gratis-Strumpor.i proxy service av maskerad som en front för en kriminell verksamhet.
Forskarna sade att användare som vill använda någon proxy-servrar som tillhandahålls av Gratis-Strumpor.på hemsidan skulle faktiskt ha sin trafik kanaliseras genom ett nätverk av hackade WordPress webbplatser som sprids över hela världen.
Nya Linux.Ngioweb skadlig kod som används för att bygga proxy botnet
Dessa WordPress webbplatser som hackades och infekterad med ett webb-skal, som fungerade som en bakdörr, och Linux.Ngioweb skadlig kod som fungerar som proxy agent.
Netlab forskare tittat närmare på Linux.Ngioweb skadlig kod, eftersom detta var en ny stam som inte hade sett innan. Efter att ha analyserat det, sade de som Linux.Ngioweb innehöll två separata command and control (C&C) servrar.
Den första — som heter Steg-1 — användes för att hantera alla infekterade webbplatser (robotar). Den andra uppsättningen av C&C-servrar — som heter Steg-2 servrar — arbetat som backconnect fullmakter mellan Gratis-Strumpor.i service och infekterade webbplatser, funnelling trafik från tjänsten: s kunder på den hackade WordPress-webbplatser, vilket sedan förmedlas det till sin slutliga destination.
Bild: Netlab
Netlab sade också Linux.Ngioweb malware var faktiskt en Linux-porten på en dator med Windows malware stam som heter Win32.Ngioweb, såg för första gången i augusti 2018 av Check Point forskare. Windows-versionen också fungerat som en proxy-bot, som troligen används på ett liknande sätt.
Det enda utöver Linux-port, vilket sågs för första gången den 27 Maj, tre veckor sedan, var en DGA (domän generation algoritm) som genererat en förutbestämd Steg-1 C&C-server domännamn för varje dag, som alla infekterade webbplatser skulle rapportera till.
Tar över botnet
Netlab forskare sade att de knäckt DGA och spelade in en av de Fas-1 C&C-server områden i syfte att spåra botnet s verksamhet.
Den Netlab team sade att under den tid de körde denna domän, 2,692 WordPress webbplatser som kontrolleras, och nästan hälften av dem ligger i USA.
Bild: Netlab
Alla dessa platser skulle nu måste desinficeras och har Linux.Ngioweb malware och angränsande web skal bort från sitt filsystem.
Den Netlab laget har erbjudit sig att dela en lista av infekterade IP-adresser med andra bevakningsföretag och med berörda brottsbekämpande myndigheter. Kontaktuppgifter finns i företagets tekniska rapport.
Relaterade skadliga program och it-brottslighet täckning:
Nya Echobot malware är ett smörgåsbord av vulnerabilitiesFlorida staden betalar $600.000 till ransomware gäng att ha sin data backRussian APT hackad Iranska APT: s infrastruktur tillbaka i 2017Botnet utnyttjar Android Debug Bridge till min cryptocurrency på din deviceNew Plurox malware är en bakdörr, cryptominer, och mask, alla förpackade i oneRansomware gäng hacka MSPs att distribuera ransomware på kundens system Mer än 3B falsk e-post som skickas dagligen som phishing-attacker kvarstår TechRepublicGame of Thrones har de mest skadliga av alla piratkopierade TV-show CNET
Relaterade Ämnen:
Servrar
Säkerhet-TV
Hantering Av Data
CXO
Datacenter