Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Botnet proxy record da 400k computer realizzata tramite malware

Esperti di sicurezza scoprono una nuova botnet proxy di dimensioni colossali: cos'è, come funziona e come si diffonde?
Botnet proxy record da 400k computer realizzata tramite malware
Esperti di sicurezza scoprono una nuova botnet proxy di dimensioni colossali: cos'è, come funziona e come si diffonde?
Link copiato negli appunti

Grazie al lavoro di alcuni ricercatori è stato possibile individuare una botnet proxy di dimensioni enormi, con almeno 400.000 sistemi Windows coinvolti. I dispositivi che fungono da nodi, sono utilizzati senza il consenso degli utenti: ciò significa che l'intera struttura è frutto del lavoro di malware.

Questo tipo di proxy residenziali costituisce una risorsa importante per i criminali informatici, in quanto possono aiutare a distribuire attacchi di credential stuffing su larga scala da nuovi indirizzi IP. Nonostante ciò, va ricordato che strutture del genere possono anche essere utilizzati nel contesto della legalità, risultando utili per lo scraping di dati o per migliorare la privacy degli utenti.

Stando alle analisi di AT&T Alien Labs appare chiaro come l'applicazione proxy funziona in modo nascosto, senza che i singoli utenti abbiano alcun tipo di segnale evidente a tal proposito.

A rendere particolarmente difficile l'individuazione della botnet vi è un'altra caratteristica della stessa. Secondo i ricercatori "Poiché l'applicazione proxy è firmata, non ha alcun rilevamento antivirus, passando sotto il radar delle società di sicurezza".

Un'enorme botnet proxy che lavora in silenzio: ecco come viene utilizzata

Gli stessi autori di questa botnet proxy sono già noti agli esperti di sicurezza: giusto qualche tempo fa, infatti, essi si sono distinti per aver diffuso un payload dannoso chiamato AdLoad, attivo in ambiente macOS. A uno sguardo vicino, i due casi mostrano somiglianze, come l'utilizzo di linguaggio Go che sembra provenire dallo stesso codice sorgente.

A quanto pare, l'infezione avviene tramite loader nascosti in software contraffatti, con un'installazione "silenziosa" del proxy che lavora in background, senza interagire in alcun modo con l'utente.

Dopo accurati studi di AT&T, sul loro rapporto riguardo tale minaccia viene segnalato come "Il proxy raccoglie continuamente informazioni vitali dalla macchina per garantire prestazioni e reattività ottimali". Nello stesso documento, viene poi specificato come "Ciò include tutto, dall'elenco dei processi e il monitoraggio della CPU all'utilizzo della memoria e persino il monitoraggio dello stato della batteria".

Ti consigliamo anche