
Los investigadores de ciberseguridad han descubierto detalles sobre un nuevo actor de amenazas llamado Lurking Lizard que ejecutaba un negocio de proxy residencial malicioso de extremo a extremo utilizando una infraestructura compuesta por más de 230 dominios similares.
Según la empresa de inteligencia sobre amenazas DNS Infoblox, esta actividad se remonta al menos a agosto de 2022. En una de esas campañas observada a principios de este año, los atacantes utilizaron un instalador troyanizado 7-Zip alojado en un dominio llamado 7zip(.)com para atraer a las víctimas y reclutar de forma encubierta dispositivos comprometidos como nodos proxy.
Lurking Lizard también es conocido por hacerse pasar por importantes proveedores de proxy como IPIDEA, SmartProxy (ahora Decodo), IP Royal y 911Proxy, sin mencionar el funcionamiento de sitios de reseñas falsos “independientes” para dirigir el tráfico a su propia tienda fraudulenta. Curiosamente, la infraestructura de IPIDEA fue desmantelada por Google en una operación a principios de este año en enero.
Los hallazgos posteriores de Proxyway revelaron que las 773.087 direcciones IP únicas vinculadas a SmartProxy también estaban presentes en el conjunto de datos IP IPIDEA disponible públicamente, que consta de 16.192.293 IP únicas. Esto indica que SmartProxy «revende la infraestructura de IPIDEA directamente o la utiliza como una fuente importante de IP».
El análisis de WHOIS y las huellas dactilares de la infraestructura sugieren que Lurking Lizard es un actor con sede en China, y el esquema ilegal también utiliza servicios como las populares VPN y HeroSMS como señuelos para distribuir malware proxy.
Un aspecto notable de los métodos de los atacantes gira en torno a la adquisición de dominios caducados para heredar su historia acumulada y su legitimidad, una técnica conocida como drop catch. En algunos casos, los atacantes se aprovechan de la legitimidad que rodea a los nombres de dominio con referencias erróneas (por ejemplo, «7zip(.)com» en lugar de «7-zip(.)org») y los utilizan en su beneficio.
Un análisis más detallado de la URL de IPLogger (‘iplogger(.)com/mnWD’) integrada en las muestras asociadas con la campaña 7-Zip reveló que se utilizó la misma infraestructura subyacente para servir instaladores falsos de 7-Zip, herramientas para disfrazar los descargadores de WhatsApp, TikTok y YouTube, y WireVPN.
El uso de la marca WireVPN representa la última evolución de la campaña, utilizando un enfoque múltiple para dirigirse a usuarios de todos los sistemas operativos, incluidos Android, macOS y Windows. Una de esas aplicaciones para Android, llamada «wirevpn – Fast Unlimited Proxy» desarrollada por una empresa con sede en el Reino Unido llamada WEILAI NETWORK TECHNOLOGY CO., LIMITED, tiene más de 1 millón de descargas, aunque no está claro si estas descargas son orgánicas.

«En la campaña original de 7-Zip, las víctimas eran dirigidas a instaladores maliciosos a través de contenido tutorial, descubrimiento de búsqueda y dominios similares», dijo Infoblox. «No está claro si técnicas similares llevan a los usuarios a la versión de escritorio actual, pero la aplicación móvil podría servir como un canal de adquisición adicional».
Tampoco está claro si la misma funcionalidad de proxy, un nodo de salida que canaliza el tráfico de terceros a través del dispositivo de la víctima, existe en aplicaciones móviles o si se limita a aplicaciones de escritorio. De cualquier manera, pintan una imagen de lo que parece ser un negocio de proxy ilegal que facilita un ecosistema coordinado que abarca la adquisición de víctimas, la infraestructura de proxy, el marketing y la monetización.
El resultado es una operación de extremo a extremo que pasa por dos etapas distintas:
Los instaladores troyanizados, las aplicaciones móviles y otros señuelos reclutan los dispositivos de las víctimas para utilizarlas en botnets proxy controlados por los atacantes. Luego, los grupos se monetizan a través de marcas de servicios proxy similares, y los sitios de reseñas falsos ayudan a dirigir el tráfico a las tiendas de los atacantes.
«Estamos sorprendidos por las similitudes entre la actividad criminal recientemente expuesta en el espacio de proxy residencial y la publicidad maliciosa que plaga la publicidad de afiliados», dijo Infoblox. «Hay una historia obvia: su televisor podría ser parte de una enorme botnet que lleva a cabo ataques a través de Internet. Pero la verdadera historia es mucho más compleja y todavía no tenemos una solución».
«En lugar de ejecutar una única campaña de malware, Lurking Lizard gestiona múltiples etapas del ciclo de vida del proxy residencial durante varios años, desde la adquisición del dispositivo de la víctima hasta la comercialización y venta del acceso a la red resultante».
El desarrollo se produce días después de que Google anunciara que había degradado significativamente su red de proxy residencial NetNut (también conocida como Popa), que enrutaba al menos 2 millones de dispositivos, incluidos televisores inteligentes y cajas de transmisión, al tráfico de red fraudulento a través de SDK preinstalados cargados de malware y aplicaciones que contienen código de proxy oculto.
Google dijo: «Esto representa un grave riesgo para los propietarios de dispositivos desprevenidos, ya que los atacantes pueden utilizar la dirección IP de su hogar como plataforma de lanzamiento para piratería u otras actividades fraudulentas». «Como resultado, el tráfico legítimo de los usuarios puede ser marcado como sospechoso o bloqueado por su proveedor de servicios».
Source link
