Botnet se ejecuta en servicio de proxy gratuito

botnet

Los investigadores de Netlab descubrieron un sitio web que ofrece servidores proxy gratuitos y comerciales que aprovechan una enorme red de bots (Ngioweb) de sitios de WordPress pirateados.

Los investigadores de Netlab descubrieron que el servicio de proxy Free-Socks.in está aprovechando una gran red de bots de sitios de WordPress pirateados.

Según los expertos, el tráfico administrado por el servicio de proxy se enruta a través de una red de sitios de WordPress pirateados.

Los actores de amenazas comprometieron los sitios de WordPress con shells web muy ocultos y Linux.Ngioweb malware que implementa el agente proxy.

La variante analizada por los investigadores es una versión de Linux del malware Win32.Ngioweb que se detectó por primera vez en la naturaleza en agosto de 2018 por expertos en Check Point.

"Determinamos que se trata de una Botnet Proxy, y es una variante de la versión de Linux del malware Win32.Ngioweb. Lo llamamos Linux.Ngioweb. Comparte una gran cantidad de código con Win32.Ngioweb, excepto que tiene características DGA ”, lee el análisis de Netlab.

"Además, hemos observado que el malware Linux.Ngioweb se ha implantado en una gran cantidad de servidores web de WordPress".

Los expertos registraron uno de los nombres de dominio DGA C2 (enutofish-pronadimoful-multihitisionEl.]org) para analizar el tráfico generado por el bot.

El ejemplo de Linux.Ngioweb Bot implementa Back-Connect Proxy en la máquina de la víctima.

"El atacante construye múltiples Bots en un grupo de proxies y lo controla a través de un protocolo C2 de dos niveles, luego proporciona un servicio de proxy giratorio", continúa el análisis.

La primera etapa (Etapa-1) administra todos los sitios infectados, mientras que la segunda (Etapa-2) establece los servidores de C&C. En la Etapa 2, el robot establece comunicación con el C2 de la Etapa-2 y habilita la función de Back-Connect Proxy. Los servidores de Comando y Control de la etapa 2 están especificados por el comando CONECTAR.

Los expertos de Sinkholing the C2 domain observaron conexiones de 2,692 sitios comprometidos de WordPress, la mayoría de los cuales se encuentran en los Estados Unidos.

Netlab planea compartir la lista de servidores infectados con otras firmas de seguridad y agencias de cumplimiento de la ley.

Las agencias de seguridad y cumplimiento de la ley relevantes son bienvenidas a comunicarse con netlab [at] 360.cn para obtener una lista de las direcciones IP infectadas.

Semrush sigue a tu competencia


Fecha actualización el 2019-06-25. Fecha publicación el 2019-06-25. Categoria: botnet Autor: Oscar olg Mapa del sitio Fuente: securityaffairs Version movil