Uso de Máquinas Infectadas como Nodos Proxy
Actores de amenazas están aprovechando el acceso a máquinas Windows y macOS infectadas con malware para entregar una aplicación de servidor proxy y usarlas como nodos de salida para reenviar solicitudes proxy.
Operación de Servicio Proxy
Según AT&T Alien Labs, la empresa sin nombre que ofrece el servicio proxy opera más de 400,000 nodos de salida proxy. No está claro de inmediato cuántos de ellos fueron cooptados por malware instalado en máquinas infectadas sin el conocimiento e interacción del usuario.
Instalación Silenciosa de Proxy
«Aunque el sitio web del proxy afirma que sus nodos de salida provienen solo de usuarios informados que acordaron el uso de su dispositivo», la compañía de ciberseguridad encontró evidencia de que «los creadores de malware están instalando el proxy silenciosamente en sistemas infectados».
Distribución de Malware y Proxy
Se han observado múltiples familias de malware entregando el proxy a usuarios que buscan software y juegos crackeados. El software proxy, escrito en el lenguaje de programación Go, es capaz de atacar tanto a Windows como a macOS, siendo el primero capaz de evadir la detección mediante una firma digital válida.
Funcionalidad y Propósito del Proxy
Además de recibir instrucciones adicionales de un servidor remoto, el proxy está configurado para recopilar información sobre los sistemas hackeados, incluidos procesos en ejecución, utilización de CPU y memoria, y estado de la batería.
La instalación del software proxy va acompañada de la implementación de elementos adicionales de malware o adware.
Monetización y Propagación
«La monetización de servidores proxy propagados por malware a través de un programa de afiliados es problemática, ya que crea una estructura formal para aumentar la velocidad a la que se propagará esta amenaza», dijo el investigador de seguridad Ofer Caspi.
Hallazgos Previos y AdLoad
La divulgación se basa en hallazgos previos de AT&T en los que máquinas macOS comprometidas por el adware AdLoad están siendo agrupadas en una gran botnet proxy residencial.
AdLoad es una de las cepas de adware más grandes conocidas que atacan a macOS, conocida por suplantar reproductores de video populares y otras aplicaciones ampliamente utilizadas.
Aumento de Malware y Aplicaciones Proxy
«El aumento de aplicaciones proxy entregadas por malware como una inversión lucrativa, facilitada por programas de afiliados, destaca la astucia de las tácticas de los adversarios», señaló la compañía.
Actividad Dirigida a macOS
El desarrollo se produce a medida que los sistemas macOS se han convertido cada vez más en un objetivo codiciado, con un aumento del 1,000% en actores de amenazas que anuncian cepas de robo de información y herramientas sofisticadas en la web oscura desde 2019.
Amenazas Predominantes para Usuarios de Mac
La empresa de ciberseguridad rumana Bitdefender señaló que los usuarios de Mac son predominantemente atacados por tres amenazas clave en el último año: Troyanos (51.8%), Aplicaciones Potencialmente No Deseadas (25.3%) y Adware (22.6%).
