Die Website Proxybox.net verkauft laut Symantec Malware mit (Screenshot: Symantec).
Symantec hat die schon länger bekannte Malware „Backdoor.Proxybox“ untersucht und bringt sie mit einem russischen Drahtzieher in Verbindung, der unter anderem einen Proxy-Dienst anbietet und darüber die Schadsoftware einschleust. Dieser „unternehmerisch tätige russische Hacker“, soll mehrere dubiose Websites rund um Proxys und Malware-Verteilung betreiben.
Proxybox.name bietet demnach Proxy-Zugang, Vpnlab.ru VPN-Dienste, Avcheck.ru Antivirus-Überprüfung und Whoer.net einen Proxy-Test-Dienst. Die Services sind teilweise kostenpflichtig und nutzen mit WebMoney, Liberty Reserve und RoboKassa immer die gleichen Bezahl-Gateways. Proxy-Software kann hilfreich sein für anonymen Zugang, um Zensur zu umgehen – oder auch geografische Einschränkungen für Medieninhalte.
„Von ihrer Frontend-Website her scheint es sich um einen legitimen russischen Proxy-Service zu handeln, der Zugang zu einer Liste mit insgesamt Tausenden von Proxys für nur 40 Dollar monatlich bietet“, heißt es im Bericht von Symantec. „Wie können sie für so wenig Geld Zugang zu so vielen Servern bieten?“
Die Malware Backdoor.Proxybox wurde erstmals 2010 identifiziert und fiel in letzter Zeit als zunehmend aktiv auf. Sie besteht aus mehreren Komponenten, darunter einem Rootkit. Die entscheidende Komponente ist eine DLL, die beim Start des Computers ausgeführt wird und einen Proxydienst einrichtet, der die kompromittierte Maschine in ein großes Botnetz überführt. Symantecs Beobachtung der Kommando- und Kontrollserver deutet darauf hin, dass das Botnetz die Zahl der online aktiven Nutzer zu jeder Zeit bei rund 40.000 zu halten versucht. Es verbreitet seine Malware über verschiedene Wege, darunter Blackhole-Exploits.
Die mit den Malware-Websites verbundenen Zahlungswege konnte Symantec mit einem Ukrainer in Verbindung bringen, der in Russland lebt. Weitere Namen und Einzelheiten wollte das Unternehmen nicht nennen. Es arbeite mit Ermittlungsbehörden in mehreren Ländern zusammen, in denen Kommando- und Kontrollserver betrieben werden.
[mit Material von Declan McCullagh, News.com]
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
