Die Website Proxybox.net verkauft laut Symantec Malware mit (Screenshot: Symantec).
Symantec hat die schon länger bekannte Malware „Backdoor.Proxybox“ untersucht und bringt sie mit einem russischen Drahtzieher in Verbindung, der unter anderem einen Proxy-Dienst anbietet und darüber die Schadsoftware einschleust. Dieser „unternehmerisch tätige russische Hacker“, soll mehrere dubiose Websites rund um Proxys und Malware-Verteilung betreiben.
Proxybox.name bietet demnach Proxy-Zugang, Vpnlab.ru VPN-Dienste, Avcheck.ru Antivirus-Überprüfung und Whoer.net einen Proxy-Test-Dienst. Die Services sind teilweise kostenpflichtig und nutzen mit WebMoney, Liberty Reserve und RoboKassa immer die gleichen Bezahl-Gateways. Proxy-Software kann hilfreich sein für anonymen Zugang, um Zensur zu umgehen – oder auch geografische Einschränkungen für Medieninhalte.
„Von ihrer Frontend-Website her scheint es sich um einen legitimen russischen Proxy-Service zu handeln, der Zugang zu einer Liste mit insgesamt Tausenden von Proxys für nur 40 Dollar monatlich bietet“, heißt es im Bericht von Symantec. „Wie können sie für so wenig Geld Zugang zu so vielen Servern bieten?“
Die Malware Backdoor.Proxybox wurde erstmals 2010 identifiziert und fiel in letzter Zeit als zunehmend aktiv auf. Sie besteht aus mehreren Komponenten, darunter einem Rootkit. Die entscheidende Komponente ist eine DLL, die beim Start des Computers ausgeführt wird und einen Proxydienst einrichtet, der die kompromittierte Maschine in ein großes Botnetz überführt. Symantecs Beobachtung der Kommando- und Kontrollserver deutet darauf hin, dass das Botnetz die Zahl der online aktiven Nutzer zu jeder Zeit bei rund 40.000 zu halten versucht. Es verbreitet seine Malware über verschiedene Wege, darunter Blackhole-Exploits.
Die mit den Malware-Websites verbundenen Zahlungswege konnte Symantec mit einem Ukrainer in Verbindung bringen, der in Russland lebt. Weitere Namen und Einzelheiten wollte das Unternehmen nicht nennen. Es arbeite mit Ermittlungsbehörden in mehreren Ländern zusammen, in denen Kommando- und Kontrollserver betrieben werden.
[mit Material von Declan McCullagh, News.com]
Technik funktioniert überall oder zumindest fast überall. In einem klimatisierten Büro mag ein herkömmlicher Laptop…
Betroffen ist derzeit offenbar nur das iPad Pro M4. Es lässt sich Berichten von Nutzern…
Die EU-Kommission kann die Entscheidung noch anfechten. Das Gericht der Europäischen Union kassiert lediglich die…
Hacker können aus der Ferne Schadcode einschleusen und ausführen. Betroffen sind Chrome für Windows, macOS…
Das Datenleck betrifft den Kreditvergleich. Unbefugte haben zwischenzeitlich Zugriff auf die Kreditvergleiche anderer Kunden.
Copilot wird stärker in Microsoft 365 integriert. Neue Funktionen stehen unter anderem für Excel, Outlook,…
