Вот уже более семи лет прокси-ботнет Ngioweb ищет уязвимые устройства и сайты, заражает их вредоносным ПО и перепродает трафик другим мошенникам. Стоимость доступа к заражённым IP-адресам стартует от 0,20 долларов за сутки.
Атаки на WordPress в 2019
Исследовали из Netlab в 2019 году обнаружили, что прокси-сервис Free-Socks.in использовал масштабный ботнет из взломанных сайтов на CMS WordPress. По мнению экспертов, трафик, направляемый прокси-сервисом, проходил через сеть взломанных сайтов на WP.
Злоумышленники компрометировали сайты на WordPress с помощью замаскированных веб-оболочек и вредоносного ПО Linux.Ngioweb — прокси-агент.
Эксперты зарегистрировали одно из доменных имен DGA C2 (enutofish–pronadimoful–multihitision[.]org) для анализа трафика, генерируемого этими ботами. Как выяснилось, злоумышленники объединяли несколько ботов в пул прокси-серверов и управляли ими с помощью двухуровневого протокола C2, а затем предоставляли услуги по смене прокси-серверов. При взломе домена C2 эксперты обнаружили соединения с 2692 скомпрометированными сайтами на WordPress, большинство из которых были расположены в США.
Умные пылесосы в опасности
Среди наиболее атакуемых — маршрутизаторы Zyxel, устройства Linear eMerge и роботы-пылесосы Neato.
Продажи пылесосов Neato прекратились в мае 2023 года, тем не менее, к интернету по-прежнему подключено 128 тыс. устройств Neato. Примерно 35 тыс. из них находятся в США, 15 тыс. — в Индии. Зараженные Ngioweb IoT-устройства преимущественно приходятся на индийские IP-адреса.
Черный рынок веб-трафика от Ngioweb
В 2022 году эксперты компании LevelBlue Labs выявили системы, зараженные трояном Ngioweb, которые продавались как локальные прокси-серверы на странице Nsock.
Nsocks продавали доступ к прокси-серверам SOCKS5 по всему миру, позволяя покупателям выбирать их по местоположению (штат/регион, город или почтовый индекс), провайдеру, скорости, типу зараженного устройства. Цены варьируются от 0,20 до 1,50 долларов за суточный доступ и зависят от типа устройства и времени, прошедшего с момента заражения.
Злоумышленники даже предлагают скидки, если IP-адрес был добавлен в общедоступные черные списки. Чтобы не раскрыть себя и тех, кто пользуется услугами черного рынка веб-трафика, злоумышленники принимают платежи только в биткоинах или лайткоинах.
В 2022 году Nsocks опубликовали свою первую рекламу на форумах Black Hat, в которой сообщили, что размер их ботнета составляет 14 тыс. систем. С 2022 года их число увеличилось более чем вдвое, и в настоящее время в пуле находится почти 30 000 различных IP-адресов. Это означает, что всего за четыре года Ngioweb вырос в 10 раз.
Распределение зараженных устройств по странам следующее:
- США: >13 тыс. прокси
- Великобритания: >4 тыс. прокси
- Канада: >2 тыс. прокси
- Япония: 605 прокси
Среди зараженных систем Nsocks есть следующие группы жертв:
- Организации (ORG)
- Правительство (GOV)
- CDN (CDN)
- Образование (EDU)
- Бизнес (COM)
- Дата-центры/Хостинги (DCH)
- Провайдеры (ISP): частные пользователи, подключенные к домашнему интернету (ботнет на 75% процентов состоит именно из этой категории устройств)
- Провайдеры мобильной связи (MOB)
Круглосуточный прокси-доступ к зараженным системам Ngioweb сегодня продается за копейки. Это позволяет другим злоумышленникам анонимно проводить свои вредоносные атаки в сети.
Жертвы могут не подозревать о том, что их устройства и IP-адреса могут использоваться для генерации мошеннического трафика, DDoS-атак и других вредоносных действий. Поэтому важно устанавливать системы защиты на все свои устройства и своевременно их обновлять.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
