Investigadores han descubierto una campaña masiva que entregó aplicaciones de servidor proxy a al menos 400 000 sistemas Windows. Los dispositivos actúan como nodos de salida residenciales sin el consentimiento de los usuarios y una empresa cobra por el tráfico de proxy que se ejecuta a través de las máquinas.

Los proxies residenciales son valiosos para los ciberdelincuentes porque pueden ayudar a implementar ataques de Credential Stuffing a gran escala desde direcciones IP nuevas. También tienen fines legítimos como la verificación de anuncios, el raspado de datos, la prueba de sitios web o el redireccionamiento para mejorar la privacidad.

Algunas empresas de proxy venden acceso a servidores proxy residenciales y ofrecen recompensas monetarias a los usuarios que acceden a compartir su ancho de banda.

En un informe, AT&T Alien Labs dice que la red de proxy de 400 000 nodos se creó mediante el uso de cargas maliciosas que entregaron la aplicación de proxy.

A pesar de que la compañía detrás de la botnet afirmó que los usuarios dieron su consentimiento, los investigadores descubrieron que el proxy se instalaba silenciosamente en los dispositivos.

La misma compañía controlaba los nodos de salida creados por una carga útil maliciosa llamada AdLoad que apuntaba a los sistemas macOS, que AT&T informó la semana pasada.

De hecho, los dos binarios basados en Go (para macOS y Windows) parecen tener el mismo código fuente; sin embargo, el cliente proxy de Windows evade la detección del antivirus debido al uso de una firma digital válida.

La infección comienza con la ejecución de un cargador oculto en el software y los juegos pirateados, que descarga e instala la aplicación proxy automáticamente en segundo plano sin la interacción del usuario.

Los autores de malware usan Inno Setup con parámetros específicos que ocultan cualquier indicador del proceso de instalación y todas las indicaciones típicas del usuario.

Durante la instalación del cliente proxy, el malware envía parámetros específicos, que también se transmiten al servidor de comando y control (C2) para que el nuevo cliente pueda registrarse e incorporarse a la botnet.

El cliente proxy establece la persistencia en el sistema infectado mediante la creación de una clave de registro para activarlo cuando se inicia el sistema y mediante la adición de una tarea programada para buscar nuevas actualizaciones del cliente.

«El proxy recopila continuamente información vital de la máquina para garantizar un rendimiento y una capacidad de respuesta óptimos», explica el informe de AT&T.

«Esto incluye todo, desde la lista de procesos y el monitoreo de la CPU hasta la utilización de la memoria e incluso el seguimiento del estado de la batería».