Die Website Proxybox.net verkauft laut Symantec Malware mit (Screenshot: Symantec).
Symantec hat die schon länger bekannte Malware „Backdoor.Proxybox“ untersucht und bringt sie mit einem russischen Drahtzieher in Verbindung, der unter anderem einen Proxy-Dienst anbietet und darüber die Schadsoftware einschleust. Dieser „unternehmerisch tätige russische Hacker“, soll mehrere dubiose Websites rund um Proxys und Malware-Verteilung betreiben.
Proxybox.name bietet demnach Proxy-Zugang, Vpnlab.ru VPN-Dienste, Avcheck.ru Antivirus-Überprüfung und Whoer.net einen Proxy-Test-Dienst. Die Services sind teilweise kostenpflichtig und nutzen mit WebMoney, Liberty Reserve und RoboKassa immer die gleichen Bezahl-Gateways. Proxy-Software kann hilfreich sein für anonymen Zugang, um Zensur zu umgehen – oder auch geografische Einschränkungen für Medieninhalte.
„Von ihrer Frontend-Website her scheint es sich um einen legitimen russischen Proxy-Service zu handeln, der Zugang zu einer Liste mit insgesamt Tausenden von Proxys für nur 40 Dollar monatlich bietet“, heißt es im Bericht von Symantec. „Wie können sie für so wenig Geld Zugang zu so vielen Servern bieten?“
Die Malware Backdoor.Proxybox wurde erstmals 2010 identifiziert und fiel in letzter Zeit als zunehmend aktiv auf. Sie besteht aus mehreren Komponenten, darunter einem Rootkit. Die entscheidende Komponente ist eine DLL, die beim Start des Computers ausgeführt wird und einen Proxydienst einrichtet, der die kompromittierte Maschine in ein großes Botnetz überführt. Symantecs Beobachtung der Kommando- und Kontrollserver deutet darauf hin, dass das Botnetz die Zahl der online aktiven Nutzer zu jeder Zeit bei rund 40.000 zu halten versucht. Es verbreitet seine Malware über verschiedene Wege, darunter Blackhole-Exploits.
Die mit den Malware-Websites verbundenen Zahlungswege konnte Symantec mit einem Ukrainer in Verbindung bringen, der in Russland lebt. Weitere Namen und Einzelheiten wollte das Unternehmen nicht nennen. Es arbeite mit Ermittlungsbehörden in mehreren Ländern zusammen, in denen Kommando- und Kontrollserver betrieben werden.
[mit Material von Declan McCullagh, News.com]
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
