Expertos analizan malware Backdoor.Proxybox, tratan de identificar al Mastermind

Seguridad Internet.- Cada año, cientos de miles de usuarios de Internet son víctimas de la Backdoor.Proxybox malware. Es por eso que los expertos de Symantec han decidido investigar a fondo el funcionamiento y la red de bots que lo iluminan.

Han encontrado que aunque el servicio ruso Proxybox (proxybox.name) parece ser un servicio proxy legítimo, pero en realidad, esconde una campaña maliciosa masiva.

Una de las primeras pistas que revelaban el verdadero propósito del servicio fue el hecho de que el Proxybox ofrecía acceso a toda su lista de proxies por un precio insignificante de $40 (31 euros) al mes.

Un anuncio del proxy service mostraba un vínculo entre cuatro sitios web, especializado en representaciones y distribución de malware, todas ellas operadas por el mismo ciberdelincuente ruso.

La conexión entre los sitios – vpnlab.ru, avcheck.ru, proxybox.name ywhoer.net – está representado por un entrecruzamiento estático de anuncios, el mismo número de soporte ICQ y mismos tipos de pasarelas de pago.

Después de analizar estas cuentas de pago, los investigadores llegaron a una persona que reside en Ucrania, Rusia. Por el momento, Symantec no ha proporcionado más detalles sobre la identidad del hacker porque la policía está investigando el caso.

En lo que a la actual Backdoor.Proxybox malware se refiere, los expertos hallaron que dicha amenaza – identificada por primera vez en el 2010 – se compone de tres componentes principales: un rootkit, un payload y un dropper.

Cuando las víctimas arrancan la computadora infectada, el payload – responsable de convertir la máquina infectada en un zombi – toma el mando y el control del servidor cuya dirección es modificable y la configura como quiere.

Parece que el controlador está tratando de asegurar de que el tamaño de la botnet se mantenga en 40,000. Con el fin de mantener este tamaño, se utilizan varios medios para distribuir el malware, incluyendo algunos BlackHole web exploits.

El sitio web proxybox.name se utiliza actualmente para vender el acceso a la botnet.

VÍA: SOFTPEDIA