Sécurité

Un nouveau logiciel malveillant installe des proxys anonymes sur les PC infectés – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Depuis que les gens font des choses productives avec des logiciels, il y a des secousses qui font malware pour tout foutre en l’air et gagner de l’argent. Au fur et à mesure que la sécurité s’améliore, les logiciels malveillants sont devenus plus intelligents au fil des ans. Certaines variantes modernes comme rançongiciel sont assez intelligents, mais Palo Alto Networks vient de signaler la découverte de quelque chose de nouveau. ProxyBack configure des proxys anonymes sur les PC infectés pour acheminer le trafic via la connexion de la victime.

Il existe une demande de connexions proxy dans divers pays, pour des utilisations légitimes et non légitimes. Lorsque ProxyBack réussit à s’infiltrer dans un système (probablement via des téléchargements de logiciels décevants), il se met au travail mise en place d’un tunnel inverse sur la machine. Cela permet à ProxyBack de contourner les mesures de sécurité telles que les pare-feu logiciels et matériels qui empêchent le flux de données.

ProxyBack contacte via TCP un serveur proxy malveillant pour vérifier qu’il a été déployé correctement. Le serveur envoie ensuite un test ping pour s’assurer que le proxy dispose d’une connexion à l’internet ouvert de l’autre côté. Si tout se passe comme prévu, c’est là que le plaisir commence. La machine victime devient désormais une plaque tournante pour un grand volume de données proxy, et toutes les données ne sont pas liées aux activités des auteurs de logiciels malveillants. Il semble que des tiers involontaires utilisent ces connexions proxy.

Palo Alto Networks a analysé les données provenant d’une machine ProxyBack et a découvert qu’il s’agissait en partie d’un trafic général vers des sites tels que Facebook, Twitter, Wikipedia, etc. Cela vient probablement de personnes ordinaires qui ne savent pas que leurs données sont acheminées sur une machine infectée par des logiciels malveillants. C’est un problème non seulement pour la victime de ProxyBack, mais aussi pour les personnes utilisant les proxys. Leurs données ne transitent pas par un serveur sécurisé quelque part, mais par un PC infecté par des logiciels malveillants. Il serait trivialement facile d’intercepter ces paquets.

Psssssst :  Apple prendra en charge Thunderbolt sur ses futurs Mac basés sur ARM

proxyback4

La majeure partie des données passant par les connexions ProxyBack semble être assez malveillante en soi. Selon les chercheurs, la majeure partie de la bande passante de ProxyBack est dédiée à un système automatisé qui crée de faux profils de rencontres sur des sites comme Match.com et OkCupid. Retracer la connexion a conduit à un site appelé buyproxy.ru. Des chercheurs effectivement repéré leurs machines de test répertoriés comme procurations disponibles sur le site buyproxy. La société affirme que les procurations qu’elle fournit sont cryptées et utilisent une technologie propriétaire de « tunnelisation du trafic ». La technologie propriétaire des logiciels malveillants ressemble davantage à celle-ci, n’est-ce pas ?

Palo Alto Networks note qu’il n’y a aucune preuve directe que les propriétaires de buyproxy.ru sont ceux derrière le malware ProxyBack, mais il est définitivement conçu pour fonctionner avec le service buyproxy. Maintenant qu’il a été identifié, les scanners de logiciels malveillants peuvent commencer à supprimer ProxyBack. Comme avec la plupart des formes de logiciels malveillants, il reviendra probablement.

Bouton retour en haut de la page