Проксі на службі кіберкрімінала

Прочитали: 18573 Коментарів: 89 Рейтинг: 108

Залишитися анонімним - одна з найважливіших задач зловмисника. Що буде, якщо користувачі один за іншим стануть потрапляти на шахрайський сайт або з якогось адреси почне приходити спам і віруси? Дуже скоро такі адреси будуть блокуватися усіма провідними системами захисту, а злочинцям доведеться заводити нові «ящики», а сайти переносити на нові домени. Незручно, вимагає постійних витрат часу і, можливо, грошей. І тут на допомогу зловмисникам приходять проксі.

Проксі - це проміжний (від англ. Proxy - «уповноважений») сервер (або просто комп'ютер) між вашим комп'ютером і тим ресурсом, до якого ви звертаєтеся.

При його використанні ваш запит спочатку надходить на проксі-сервер і вже потім, після обробки - на потрібний вам ресурс.

Відповідь від ресурсу, відповідно, надійде спочатку на проксі-сервер, а звідти - вже на ваш ПК.

У разі свого легітимного використання проксі дозволяє прискорити доступ на деякі ресурси, якщо потужний проксі підключений до високошвидкісних каналів зв'язку. Крім того, перевірка трафіку на сервері дозволяє підвищити вашу безпеку.

Але зловмисників цікавить інша особливість проксі. Якщо ви спробуєте пройти по шкідливої ​​посиланням, то побачите адресу проксі-сервера, а не ресурсу зловмисників. При наявності безлічі проксі-серверів в чорні списки потраплятимуть саме вони, в той час як шахрайський або шкідливий ресурс залишиться в цілості й схоронності. Злочинцеві доведеться лише прописати в розсилку або в троянця адреси нових проксі.

Але звідки взяти стільки комп'ютерів, які згодні грати роль проксі і готові до того, що їх заблокують? У інших шахраїв. Вірусописьменники створюють спеціальне шкідливе ПО, що перетворює комп'ютер в проксі. Після «продажу» зараженого ПК шахраям призначені для користувача запити будуть приходити на нього.

Шкідливі проксі є для будь-яких ОС, будь то Windows, Mac, Linux, Android ...

Як правило, автори вірусів встановлюють на скомпрометовані Linux-пристрої три типи шкідливих програм. Це троянці для організації DDoS-атак, додатки, що дозволяють запустити в системі проксі-сервер (він використовується зловмисниками для анонімності), а також троянці і скрипти, призначені для завантаження на пристрій інших додатків.

Графік зафіксованого фахівцями «Доктор Веб» кількості атак троянця Linux.ProxyM

https://news.drweb.ru/show/review/?lng=ru&i=11093

Android.SockBot.1 , Що проник в офіційний каталог додатків ОС Android, перетворював заражене пристрій в проксі-сервер і дозволяв вірусописьменниками анонімно з'єднуватися з віддаленими пристроями, підключеними до мережі. Крім того, з його допомогою кіберзлочинці могли перенаправляти мережевий трафік, викрадати конфіденційну інформацію і організовувати DDoS-атаки на різні інтернет-сервери.

https://news.drweb.ru/show/?i=11320

Чи багато відомо шкідливих програм, що перетворюють пристрої в проксі? Перевіримо на updates.drweb.com: тільки в день написання цього випуску з'явилися Linux.ProxyM.10, Trojan.Proxy2.159, Program.3Proxy.224, Tool.Proxy.2548, Tool.Proxy.2549. І так щодня!

Ще одна область застосування проксі - підміна трафіка. У цьому випадку може бути заражений ваш роутер або безпосередньо комп'ютер, і зловмисники зможуть підміняти зображення сайтів або вбудовувати в сайти, на які ви заходите, потрібну їм інформацію.

Mac.Trojan.VSearch.7 створює в операційній системі нового «невидимого» користувача і запускає спеціальний проксі-сервер, за допомогою якого вбудовує в усі відкриваються у вікні браузера веб-сторінки сценарій на мові JavaScript, що показує рекламні банери.

https://news.drweb.ru/show/review/?lng=ru&i=11093