Criminelen verstoppen malware in webproxy

Een webproxy is bedoeld om internetverkeer door te sluizen, bijvoorbeeld om anoniem te kunnen websurfen of om blokkades en censuur in bepaalde landen te omzeilen. Een Russische groep van websites, die zich onder meer bediende van de naam Proxybox, leverde deze dienst tegen betaling aan klanten over de hele wereld. Dat maakte IT-beveiligingsbedrijf Symantec in een bedrijfsblog bekend.

Redactie AG ConnectMeer van deze auteur

Voor 40 dollar per maand – volgens Symantec een onwaarschijnlijk laag bedrag voor een bonafide proxyservice – kregen klanten van Proxybox toegang tot duizenden proxyservers verspreid over de wereld. Om de proxydienst te kunnen gebruiken, moesten klanten “functionele, simpele en makkelijke” software downloaden en installeren. In werkelijkheid haalden nietsvermoedende klanten daarmee een ‘paard van Troje’ in huis. Hun pc wordt opgenomen in een botnet. De makers boden andere cybercriminelen tegen betaling toegang tot dit botnet.

Groepering leverde ook andere 'diensten' zoals VPN en antivirus

Het cluster van Russische websites in kwestie leverde niet alleen een proxyservice maar ook VPN-diensten (vpnlab.ru), een online-virusscanner (avcheck.ru) en proxytests (whoer.net). De 4 sites waren onderling verbonden, onder meer door advertenties voor elkaars diensten te plaatsen. De betaling verliep via financiële diensten met namen als Liberty Reserve, RoboKassa en WebMoney.

Symantec Security Response heeft de afgelopen 3 maanden onderzoek gedaan naar de Russische aanvallers, die hun Backdoor.Proxybox-malware onder honderdduizenden internetgebruikers per jaar hebben verspreid. De informatie die tijdens het onderzoek is verzameld, geeft inzicht in de omvang van de operatie en kan mogelijk leiden tot identificatie van het meesterbrein achter de malware. Het spoor van betalingen leidt volgens Symantec naar iemand met een Oekraïnse naam die in Rusland woont.

Aanval was opgebouwd uit 3 onderdelen

De onderzoekers maakten gebruik van ‘reverse engineering’ om de malware te ontleden. De aanval bleek te bestaan uit een drietrapsraket. Het 1e onderdeel, Dropper, deponeert een 2e onderdeel als uitvoerbaar bestand (de ‘payload’) op de pc van het slachtoffer. Op zijn beurt installeert deze payload als 3e component een rootkit. De payload heeft de vorm van een DLL-bestand dat tegelijk met Windows wordt opgestart. De rootkit gebruikt volgens Symantec een nieuwe methode om aan scanning door beveiligingssoftware te ontkomen.

Nieuwe phishing-trend: Cybercriminelen misbruiken legitieme contactformulieren voor effectievere phishing

Onderzoekers van het KnowBe4 Threat Lab hebben een nieuwe en verontrustende phishing-methode aan het licht gebracht.

3 min

Nieuws Cybercriminelen, phishing Partner

Cybercriminelen misbruiken vertrouwde online diensten: stijging van 66,9% in 2025

KnowBe4 waarschuwt voor groeiend misbruik van vertrouwde online diensten zoals QuickBooks, Zoom, SharePoint en PayPal in phishingaanvallen.

1 min

Blog uitgestelgedrag aanpakken Partner

Uitstelgedrag aanpakken voor succesvoller informatiebeheer

Veel organisaties zullen het herkennen: je wéét dat er iets met je informatiemanagement moet gebeuren, maar je blijft het uistellen

3 min

Meer whitepapers

Whitepaper Security Partner

De weg ontdekken naar geïntegreerde IT- en fysieke beveiliging afdelingen

De samenvoegingen van IT en fysieke beveiliging begon jaren geleden, maar hoe staat het er nu voor met deze ontwikkeling?

Whitepaper Artificial Intelligence Partner

The challenge of information asymmetry

In many organizations, decision-making is hindered by information asymmetry, where critical data is unevenly distributed

Whitepaper Marketing Partner

High impact business stories creëren

De route naar de zakelijke beslisser.

MEER WHITEPAPERS

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee