Un sito web che offre sia gratuiti che commerciali proxy server è effettivamente in esecuzione in cima a un gigante botnet di hacked siti WordPress, i ricercatori di sicurezza di Netlab, una minaccia di rete a caccia di unità di Cinese di cyber-sicurezza gigante Qihoo 360, hanno rivelato.
In un rapporto pubblicato oggi, Netlab ricercatori hanno accusato il Free-Calze.in servizio proxy di mascheramento come un fronte per un’operazione criminale.
I ricercatori hanno detto che gli utenti che utilizzano uno dei proxy server forniti dal Free-Calze.nel sito sarebbe in realtà hanno il loro traffico incanalato attraverso una rete di hacked siti WordPress e diffuso in tutto il mondo.
Nuovo Di Linux.Ngioweb malware utilizzato per costruire proxy botnet
Questi siti WordPress sono stati violati e infetta con un web shell, che ha agito come una backdoor, e Linux.Ngioweb malware, che ha agito come agente proxy.
Netlab ricercatori hanno esaminato attentamente il Linux.Ngioweb malware perché questo era un nuovo ceppo che non era stato visto prima. Dopo l’analisi, hanno detto che Linux.Ngioweb contenute in due distinti comando e controllo (C&C) server.
La prima-denominata Stage-1 — è stato utilizzato per la gestione di tutti i siti infetti (bot). La seconda serie di C&C server-nome di Fase-2 server — lavorato come backconnect proxy tra il Free-Calze.in servizio e i siti infetti, versando il traffico dal servizio clienti per i hacked siti WordPress, che poi inoltrati alla sua destinazione finale.
Immagine: Netlab
Netlab anche detto che Linux.Ngioweb malware è stato in realtà un port per Linux di un malware di Windows ceppo denominato Win32.Ngioweb, avvistata per la prima volta nel mese di agosto 2018 Check Point ricercatori. La versione per Windows ha lavorato anche come proxy bot, più probabilmente utilizzato in un modo simile.
L’unico, oltre a Linux, che è stato avvistato per la prima volta il 27 Maggio, tre settimane fa, è stata una DGA (dominio algoritmo di generazione) che ha generato una pre-determinata Fase-1 C&C server di nome di dominio per ogni giorno, per cui tutti i siti infetti sarebbe riferire al.
L’assunzione di più di una botnet
Netlab i ricercatori hanno detto che hanno rotto il DGA e registrato uno degli Stage-1 C&C server domini in modo da poter tracciare la botnet attività.
Il Netlab squadra ha detto che durante il tempo che correva questo dominio, 2,692 siti WordPress controllato, con quasi la metà negli stati UNITI.
Immagine: Netlab
Tutti questi siti sarebbe ora bisogno di essere disinfettato e hanno Linux.Ngioweb malware e adiacente web shell rimosso dal filesystem.
Il Netlab squadra ha offerto di condividere un elenco di server infetto indirizzi IP con altre imprese e con le pertinenti agenzie di applicazione di legge. Dettagli del contatto sono disponibili in azienda e relazione tecnica.
Correlati malware e attacchi informatici di copertura:
Nuovo Echobot malware è un miscuglio di vulnerabilitiesFlorida città paga $600.000 a ransomware gang di dati backRussian APT hacked Iraniano APT infrastrutture indietro nel 2017Botnet sfrutta Android Debug Bridge al mio cryptocurrency sul tuo deviceNew Plurox malware è una backdoor, cryptominer, worm, tutti confezionati in oneRansomware gang hack Msp di distribuire ransomware sui sistemi del cliente Più di 3B falsi messaggi di posta elettronica inviati ogni giorno, come gli attacchi di phishing persistono TechRepublicGame of Thrones ha più malware di qualsiasi pirata TV show CNET
Argomenti Correlati:
Server
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati