Инфицированные ПК объединяются в ботнет, используемый российской компанией в качестве сети прокси-серверов.
Исследователи Palo Alto Networks (PAN) обнаружили новый вид вредоносного ПО, нацеленного на домашние ПК. Вредонос без ведома жертв использует их компьютеры как интернет-прокси. Как утверждают специалисты, вредоносное ПО в своих целях применяет российская компания, которая предоставляет услуги платного доступа к прокси-серверам.
Впервые вредоносное ПО ProxyBack было обнаружено в марте 2014 года. Тем не менее, понять принцип работы вредоноса исследователи смогли только сейчас.
По данным PAN, в большинстве случаев ProxyBack инфицировал компьютеры домашних пользователей и публично доступные ПК в учебных заведениях Евросоюза. В дальнейшем инфицированные ПК использовались для нелегального перенаправления трафика.
Состоянием на 23 декабря нынешнего года количество зараженных компьютеров составляло примерно 11 тысяч. Все устройства входили в единую сеть прокси-серверов, получающую сигналы с C&C-сервера.
По мнению исследователей, ряд IP-адресов инфицированных ПК используется российским прокси-сервисом Buyproxy. На сайте Buyproxy указано, что ежедневно сервис обслуживает от 700 до 3000 клиентов. Для обработки запросов пользователей используется центральный сервер, передающий запросы временным прокси-серверам с разными IP-адресами.
Источник http://www.securitylab.ru/