¡Sin CALCETINES, sin zapatos, sin servicios de proxy de malware! – Krebs sobre seguridad


Con la reciente desaparición de varios servicios populares de «proxy» que permiten a los ciberdelincuentes enrutar su tráfico malicioso a través de PC pirateadas, ahora existe una especie de crisis de la cadena de suministro que se apodera de la parte más vulnerable de Internet. Para agravar el problema, varios servicios de proxy basados ​​en malware restantes han optado por bloquear nuevos registros para evitar inundar sus redes con una afluencia repentina de clientes.

La semana pasada, un servicio proxy de siete años llamado 911[.]re anunció abruptamente que cerraría permanentemente después de que una brecha de seguridad cibernética permitió a intrusos desconocidos destrozar sus servidores y eliminar los datos y las copias de seguridad de los clientes. El 911 ya era similar a una infraestructura crítica para muchos en la comunidad ciberdelincuente después de sus dos principales competidores: VIP72 y luxcalcetines — cerrado o fueron cerrados por las autoridades en los últimos 10 meses.

Los foros clandestinos de ciberdelincuencia ahora están inundados de súplicas de personas que buscan desesperadamente un nuevo proveedor de proxies abundantes, baratos y confiablemente limpios para reiniciar sus negocios. El consenso parece ser que esos días ya terminaron y, si bien quedan muchos servicios de proxy más pequeños, pocos de ellos por sí solos son capaces de absorber la demanda actual.

“Todo el mundo está buscando una alternativa, hermano”, escribió un BlackHatForos usuario el 1 de agosto en respuesta a uno de los muchos hilos de discusión sobre la «alternativa al 911″. “Nadie conoce una alternativa equivalente al 911[.]re. Su servicio en términos de valor y accesibilidad en comparación con otros proveedores de proxy fue inigualable. Esperemos que alguien venga con una gran alternativa al 911[.]re.»

CALCETINES NUEVOS, ZAPATOS DE ANTERIOR

Entre las alternativas recomendadas con más frecuencia al 911 se encuentra CalcetinesAcompañante[.]comuna red proxy basada en malware que existe desde al menos 2010. Así es como se ve parte de su página de inicio actual:

La página de inicio de SocksEscort dice que sus servicios son perfectos para las personas involucradas en actividades en línea automatizadas que a menudo resultan en direcciones IP bloqueadas o prohibidas, como Craigslist y estafas de citas, manipulación de resultados de motores de búsqueda y encuestas en línea.

Pero frente a una avalancha de nuevos registros a raíz de la implosión del 911, SocksEscort se encontraba entre los servicios proxy veteranos restantes que optaron por cerrar sus puertas a los nuevos registrados, reemplazando su página de registro con el mensaje:

“Debido a la alta demanda inusual y la gran carga en nuestros servidores, tuvimos que bloquear todos los registros nuevos. De lo contrario, no podremos admitir nuestros proxies y, como resultado, cerraremos SocksEscort. Reanudaremos los registros justo después de que disminuya la demanda. Gracias por la comprensión y disculpe las molestias.”

De acuerdo a Spur.usuna empresa emergente que realiza un seguimiento de los servicios de proxy, SocksEscort es una oferta de proxy basada en malware, lo que significa que las máquinas que realizan la transmisión del tráfico por proxy para los clientes de SocksEscort se han infectado con software malicioso que las convierte en un retransmisor de tráfico.

Spur dice que el servicio proxy de SocksEscort se basa en un software diseñado para ejecutarse en computadoras con Windows, y actualmente arrienda el acceso a más de 14,000 computadoras pirateadas en todo el mundo. Eso está muy lejos del inventario de proxy anunciado por el 911, que se ubicó en más de 200,000 direcciones IP en alquiler hace solo unos días.

Imagen: Spur.us

SocksEscort es lo que se conoce como un servicio «SOCKS Proxy». El protocolo SOCKS (o SOCKS5) permite a los usuarios de Internet canalizar su tráfico web a través de un servidor proxy, que luego transmite la información al destino deseado. Desde la perspectiva de un sitio web, el tráfico del cliente de la red proxy parece provenir de una PC alquilada/infectada con malware vinculada a un cliente ISP residencial, no del cliente del servicio proxy.

Estos servicios se pueden usar de manera legítima para varios fines comerciales, como comparaciones de precios o inteligencia de ventas, pero se abusa masivamente de ellos para ocultar la actividad del delito cibernético porque dificultan rastrear el tráfico malicioso hasta su fuente original.

La interrupción en el 911[.]re llegó días después de que KrebsOnSecurity publicara una mirada en profundidad al servicio de proxy de larga duración, que mostró que el 911 tenía un historial de incentivar la instalación de su software de proxy sin previo aviso o consentimiento del usuario, y que en realidad ejecutó algunos de estos «servicios de pago». «por instalación» por sí solo para garantizar un suministro constante de PC recién pirateadas.

Esa historia también mostró una vez más que las personas que construyen y alquilan estas redes de bots son sorprendentemente fáciles de identificar en la vida real, particularmente dado que operan servicios de anonimato basados ​​en malware que permiten una gran cantidad de actividades de ciberdelincuencia.

Tal fue el caso nuevamente con SocksEscort. Curiosamente, el vínculo común que expuso las identidades de la vida real de las personas que ejecutan este servicio SOCKS fue que todos trabajaban para la misma zapatería online.

CODIFICADORES ENOJADOS

CalcetinesAcompañante[.]com se registró originalmente en la dirección de correo electrónico «michdominio@gmail.com”, que según DomainTools.com se utilizó para registrar un puñado de dominios relacionados, incluidos su encarnación anterior: supercalcetines[.]negocio. Las versiones almacenadas en caché del sitio muestran que en 2010 el software que alimenta la red se produjo con derechos de autor de “Software de escolta.”

Super-calcetines[.]biz entró en línea casi al mismo tiempo que otro dominio registrado en ese correo electrónico «michdomain»: ip-score[.]comque pronto se convirtió en la abreviatura en varios foros de ciberdelincuencia de un servicio que podía decirles a los visitantes si su dirección de Internet, o más precisamente, el proxy que estaban usando, estaba marcado por algún software o servicio de seguridad como comprometido o malicioso.

IP-score ofreció un programa de reparto de ingresos para los sitios web que optaron por incorporar su código de puntuación de IP, y los derechos de autor de ese programa de barra de usuario estaba «Codificadores enojados.”

Una revisión de las direcciones de Internet utilizadas históricamente por Super-socks[.]biz y calcetinesEscort[.]com revela que estos dominios en varios momentos a lo largo de los años compartieron una dirección de Internet con una pequeña cantidad de otros dominios, incluidos codificadores enojados[.]red, iskusnyh[.]Proy kc-zapatos[.]tu.

Copias en caché de angrycoders[.]net de Wayback Machine no revelan mucho sobre este grupo particular de programadores furiosos, pero una búsqueda en el dominio muestra varios listados ahora inactivos para Angry Coders con sede en Omsk, una gran ciudad en la región siberiana de Rusia. El dominio fue registrado en 2010 a nombre de un Oleg Iskushnikh de Omsk, que usó la dirección de correo electrónico iboss32@ro.ru.

De acuerdo a Inteligencia Constella [currently an advertiser on KrebsOnSecurity]Oleg usó la misma contraseña de su cuenta iboss32@ro.ru para una serie de otras direcciones de correo electrónico temáticas de «iboss», una de las cuales está vinculada a un perfil de LinkedIn para un Oleg Iskhusnyhque se describe a sí mismo como un desarrollador web sénior que vive en Nur-Sultan, Kazajstán.

de Iskusnyh perfil de Github muestra que ha contribuido con código a una serie de tecnologías y servicios relacionados con pagos en línea, incluidos Ingenico ePayments, Swedbank WooCommerce, Mondido Payments y Reepay.

NO JUZGUES A UN HOMBRE HASTA QUE HAYAS CAMINADO UNA MILLA EN SUS CALCETINES

Las diversas cuentas de correo electrónico de «iboss» parecen haber sido compartidas por varias partes. Una búsqueda en la base de datos de Constella de entidades violadas en «iboss32@gmail.com» revela que alguien con el nombre de Oleg Iskusnyh registró un perfil en línea con un número de teléfono en Bronx, Nueva York. Girando en ese número de teléfono – 17187154415 — revela un perfil expuesto en la brecha en la firma de inteligencia de ventas Apollo con el primer nombre «Dmitry» que usó la dirección de correo electrónico chepurko87@gmail.com.

Ese correo electrónico está conectado a un perfil de LinkedIn para Dmitri Chepurko en Pavlodar, Kazajstán. El currículum de Chepurko dice que es un desarrollador completo, que recientemente trabajó en las oficinas de Omsk de una empresa de calzado alemana llamada Zapatos KC (el kc-shoes.ru antes mencionado). El currículum de Chepurko dice antes que trabajó por su cuenta durante una década utilizando la plataforma de trabajo independiente. Upwork.

los Perfil de Upwork incluido en el CV de LinkedIn de Chepurko ya no está activo. Pero ese mismo enlace de cuenta de Upwork ahora desaparecido todavía figura como el perfil de un «Dmitry C». en una página de perfil de UpWork para el equipo de Angry Coders en Omsk, Rusia.

La página de perfil de UpWork para el equipo de programación de Angry Coders de Omsk, RU.

Quien es el «Alejandro S..” mencionado anteriormente bajo el encabezado «Miembros de la agencia» en el perfil de Upwork para Angry Coders? Registros DNS históricos de Seguridad de visión lejana show angrycoders.net anteriormente incluía el subdominio “smollalex.angrycoders[.]red».

Una simple búsqueda en Internet de «kc-shoes» revela una cuenta de Github para un usuario de Omsk con el primer nombre Alexander y el nombre de cuenta «Smollalex». La cuenta Github de Alexander indica que él también ha contribuido con código al sitio web de kc-shoes.

El servicio de Constella muestra que «Smollalex» fue un identificador favorito elegido por un Alejandro Smolyaninov de Omsk. La cuenta Smollalex Github asocia a esta persona con una empresa en Omsk que vende piezas para oleoductos y gasoductos.

Que los zapatos sean aparentemente el vínculo común entre los Angry Coders responsables de SocksEscort es doblemente divertido porque, al menos según las publicaciones en algunos foros de ciberdelincuencia, una de las principales razones por las que las personas recurren a estos servicios proxy es para «robots de zapatos» o «robots de zapatillas». ” que se refiere al uso de programas y servicios automatizados de bots que ayudan en la adquisición rápida de calzado deportivo de diseño muy buscado y de lanzamiento limitado que luego se puede revender con grandes márgenes en mercados secundarios.

No está claro si los miembros del equipo de Angry Coders siguen afiliados a SocksEscort; ninguno de ellos respondió a las solicitudes de comentarios. Hubo ciertas conexiones que quedaron claras a lo largo de la investigación mencionada anteriormente de que Angry Coders subcontrató gran parte de la promoción y el soporte de su servicio de proxy a programadores con sede en India e Indonesia, donde aparentemente reside una gran parte de sus clientes.

Otras lecturas:

29 de julio de 2022: el servicio proxy 911 implosiona después de revelar una infracción

28 de julio de 2022: Incumplimiento expone a los usuarios del servicio proxy de Microleaves

18 de julio de 2022: Una inmersión profunda en el servicio de proxy residencial ‘911’

28 de junio de 2022: El vínculo entre AWM Proxy y Glupteba Botnet

22 de junio de 2022: conozca a los administradores de la botnet proxy RSOCKS

1 de septiembre de 2021: La red proxy de malware VIP72 de 15 años se oscurece



Enlace a la noticia original