Los criminales cibernéticos están utilizando computadoras infectadas con una pieza particular de software malicioso para alimentar un servicio de proxy comercial, el cual canaliza el tráfico potencialmente malicioso a través de ellos, de acuerdo con investigadores de seguridad de Symantec.
Hace tres meses, los investigadores de Symantec iniciaron una investigación sobre una pieza de malware llamada Backdoor.Proxybox que se conoce desde 2010, pero ha mostrado una creciente actividad recientemente.
"Nuestra investigación ha revelado toda una operación de hackers black hat, que nos da información interesante sobre el funcionamiento y el tamaño de esta botnet, y que nos lleva a la información que puede identificar al autor del malware actual", dijo el investigador de Symantec, Joseph Bingham, en un blog.
El malware es un programa troyano con funcionalidad de rootkit que transforma el equipo de cómputo en un servidor proxy. El componente rootkit utiliza una novedosa técnica para impedir el acceso hacia otros archivos del malware y aumentar la persistencia de este programa malicioso en el sistema, dijo Bingham.
Sin embargo, el aspecto más interesante de este ataque es la forma en que las computadoras infectadas son utilizadas por los atacantes.
Las redes de bots son una de las principales herramientas utilizadas por los ciberdelincuentes, ya que son versátiles. Pueden ser utilizadas para enviar spam de correo electrónico, lanzar ataques distribuidos de denegación de servicio (DDoS), resolver problemas de CAPTCHA en sitios web, realizar fraude bancario en línea o fraudes ingeniería social y otras cosas.
En este caso particular, los operadores de la botnet están utilizándola para alimentar un servicio de proxy comercial llamado Proxybox.name.
Debido a que pueden ocultar la IP real del usuario (Internet Protocol), los servidores proxy se utilizan habitualmente para eludir la censura en línea, hacer un bypass de regiones con base en restricciones de acceso a contenidos o, en muchos casos, se dedican a diversas actividades ilícitas.
Los servidores proxy SOCKS totalmente anónimos y transparentes -servidores proxy que pueden dirigir el tráfico hacia cualquier aplicación, no sólo a las conexiones del navegador- son difíciles de conseguir y esto es exactamente lo que el servicio Proxybox ofrece.
Según el sitio web Proxybox, por $25 dólares al mes, los clientes pueden obtener acceso a 150 servidores proxy de los países que desean, mientras que por $40 dólares se puede obtener acceso a un número ilimitado de servidores proxy. Los operadores del servicio prometen no mantener ningún tipo de registros de acceso, lo que hace que estos servidores sean perfectos para el uso criminal porque no habrá registros que las autoridades puedan solicitar y revisar.
"Tenemos capacidad para más de 2,000 robots en línea todo el tiempo", dicen los operadores Proxybox en su página web. Sin embargo, después de monitorear el comando de la botnet y los servidores de control, los investigadores de Symantec creen que puede haber alrededor de 40,000 proxies activos en un momento dado.
El malware Proxybox se distribuye en una variedad de maneras, incluyendo por medio de ataques de descarga dirigida (drive-by download) lanzados desde sitios web comprometidos que albergan herramientas comerciales de exploits como Blackhole, dijo Bingham.
Los anuncios del servicio Proxybox que se difunden en foros clandestinos estaban vinculados a los anuncios de otros sitios web en el mercado negro que ofrecen VPN (red privada virtual), escaneo privado de antivirus o servicios de evaluación de proxy, y ofrecen el mismo número de contacto de ICQ contacto y medios de pago: WebMoney, Liberty Reserve y RoboKassa.
"Empezamos a revisar las cuentas de pago asociadas con estos sitios web, y descubrimos que estaban ligados a una persona con un nombre ucraniano que vive en Rusia", dijo Bingham. "Los detalles adicionales asociados con esta cuenta de WebMoney no han sido divulgados pues estamos trabajando con las autoridades de los países relacionados con los servidores de comando y control".
Los riesgos para los usuarios cuyos equipos están infectados con Backdoor.Proxybox son significativos. Debido a que los servidores proxy no autorizados se ejecutan en sus sistemas, sus direcciones IP podrían estar involucradas en muchas actividades ilegales sin su conocimiento.