La pink de proxy de malware de 15 años VIP72 se oscurece – Krebs on Safety


Durante los últimos 15 años, un servicio de anonimato de ciberdelincuencia conocido como VIP72 ha permitido a innumerables estafadores enmascarar su verdadera ubicación en línea al enrutar su tráfico a través de millones de sistemas infectados con malware. Pero hace aproximadamente dos semanas, el escaparate en línea de VIP72, que irónicamente ha permanecido en la misma dirección de Net con sede en EE. UU. Durante más de una década, simplemente desapareció.

Al igual que otras redes de anonimato que se comercializan principalmente en foros de ciberdelincuencia en línea, VIP72 enruta el tráfico de sus clientes a través de computadoras que han sido pirateadas y sembradas con application malicioso. Con servicios como VIP72, los clientes pueden seleccionar nodos de pink en prácticamente cualquier país y transmitir su tráfico mientras se esconden detrás de la dirección de Internet de alguna víctima involuntaria.

El dominio Vip72 (.) Org se registró originalmente en 2006 para «Cadáver, ”El identificador adoptado por un hacker de habla rusa que ganó la infamia varios años antes por crear y vender un troyano bancario en línea extremadamente sofisticado llamado A311 Muerte, también conocido como «Haxdoor,» y «Capturador nuclear. » Haxdoor se adelantó a su tiempo en muchos aspectos, y fue utilizado en múltiples ciberheístas de millones de dólares mucho antes de que los ciberheístas multimillonarios se convirtieran en noticias de primera plana.

Un anuncio de alrededor de 2005 para A311 Death, un poderoso troyano bancario creado por «Corpse», el administrador de la primera camarilla de piratería rusa Prodexteam. Imagen: Traductor de Google a través de Archive.org.

Entre 2003 y 2006, Corpse se centró en vender y respaldar su malware Haxdoor. Emergiendo en 2006, VIP72 fue claramente uno de sus ajetreos secundarios que se convirtió en una fuente de ingresos confiable durante muchos años. Y es lógico que VIP72 se haya lanzado con la ayuda de sistemas ya infectados con el malware troyano Corpse.

La primera mención de VIP72 en el ciberdelito clandestino se produjo en 2006 cuando alguien usó el identificador «Reanimar”Anunció el servicio en Exploit, un foro de piratería en ruso. Revive estableció una presencia de ventas para VIP72 en muchos otros foros, y los detalles de contacto y los mensajes compartidos de forma privada por ese usuario con otros miembros del foro muestran que Corpse y Revive son lo mismo.

Cuando se le preguntó en 2006 si el software package que impulsaba VIP72 se basaba en su software program Corpse, Revive respondió que «funciona en el nuevo software program Corpse, especialmente escrito para nuestro servicio».

Un habitante de un foro de delitos en idioma ruso que se quejó del cierre inexplicable de VIP72 el mes pasado dijo que notó un cambio en la infraestructura de nombres de dominio del sitio justo antes de la desaparición del servicio. Pero esa afirmación no se pudo verificar, ya que simplemente no hay indicios de que esa infraestructura haya cambiado antes de la desaparición de VIP72.

De hecho, hasta mediados de agosto, la página de inicio principal de VIP72 y la infraestructura de apoyo habían permanecido en la misma dirección de Net con sede en EE. UU. durante más de una década. – un logro notable para un servicio de ciberdelincuencia de tan alto perfil.

Los foros de ciberdelincuencia en varios idiomas están repletos de tutoriales sobre cómo usar VIP72 para ocultar la ubicación de uno mientras se involucra en un fraude financiero. Al examinar algunos de esos tutoriales, queda claro que VIP72 es bastante well known entre los ciberdelincuentes que se dedican al «relleno de credenciales»: toman listas de nombres de usuario y contraseñas robadas de un sitio y prueban cuántas de esas credenciales funcionan en otros sitios.

Corpse / Revive también operó durante mucho tiempo un servicio extremadamente popular llamado examine2ip (.) com, que prometía a los clientes la capacidad de saber rápidamente si una determinada dirección de World-wide-web está marcada por alguna empresa de seguridad como maliciosa o spam.

Alojado en la misma dirección de Net que VIP72 durante la última década hasta mediados de agosto de 2021, Examine2IP también anunció la capacidad de permitir que los clientes detecten «fugas de DNS», instancias en las que los errores de configuración pueden exponer la verdadera dirección de Net de la infraestructura y los servicios de ciberdelincuencia ocultos en línea.

Check2IP es tan common que se ha convertido en una abreviatura verbal de la debida diligencia básica en ciertas comunidades de delitos cibernéticos. Además, Verify2IP se ha incorporado a una variedad de servicios de ciberdelito en línea, pero especialmente a aquellos involucrados en el envío masivo de mensajes de correo electrónico maliciosos y fraudulentos.

Check out2IP, un servicio de reputación de IP que les decía a los visitantes si su dirección de World wide web estaba marcada en alguna lista de bloqueo de spam o malware.

No está claro qué pasó con VIP72 los usuarios informan que la crimson de anonimato sigue funcionando a pesar de que el sitio website del servicio ha estado fuera de servicio durante dos semanas. Eso tiene sentido ya que los sistemas infectados que se revenden a través de VIP72 todavía están infectados y continuarán reenviando tráfico mientras permanezcan infectados. Quizás el dominio fue incautado en una operación policial.

Pero podría ser que el servicio simplemente decidió dejar de aceptar nuevos clientes porque tenía problemas para competir con una afluencia de servicios de proxy criminales más nuevos y sofisticados, así como con el surgimiento de redes de proxy residenciales “a prueba de balas”. Durante la mayor parte de su existencia hasta hace poco, VIP72 normalmente tenía varios cientos de miles de sistemas comprometidos disponibles para alquilar. Cuando su sitio internet desapareció el mes pasado, ese número se había reducido a menos de 25.000 sistemas en todo el mundo.



Enlace a la noticia unique