Бесплатно Экспресс-аудит сайта:

30.07.2022

Уязвимость в прокси-сервисе раскрыла преступную деятельность его владельца

Прокси-сервис Microleaves (Shifter.io) недавно устранил уязвимость на своем веб-сайте, из-за которой была раскрыта база данных всех пользователей. Раскрытые в результате взлома данные показали, что прокси-серверы Microleaves предоставляются аффилированными лицами, заинтересованными в распространении ПО любым способом, например, путем объединения его с другими названиями.

Запущенный в 2013 году сервис Microleaves позволяет клиентам маршрутизировать свой интернет-трафик через компьютеры практически в любой стране по всему миру. Microleaves работает путем изменения IP-адреса клиента каждые 5-10 минут.

Менеджер по связям с общественностью и маркетингу Microleaves Абхишек Гупта сказал, что обнаруженная уязвимость среднего уровня опасности отмечена в новой Bug Bounty программе Shifter, которая предлагает вознаграждение до $2000.

Примечательно, что Microleaves уже давно классифицируется антивирусами как рекламное ПО или как потенциально нежелательная программа (ПНП), которая часто устанавливается на компьютер при установке других программ. Kaspersky помечает семейство ПО Microleaves как троянскую программу , которая захватывает интернет-соединение пользователя в качестве прокси-сервера без уведомления пользователя. По словам Kaspersky, эти трояны во время работы выдают себя за Microsoft Windows Update.

Согласно исследованию KrebsOnSecurity раскрытой базы данных, первый зарегистрированный пользователь «admin» с 2010 по 2017 год под ником «Acidut» был активным пользователем на нескольких киберпреступных темных форумах, в том числе BlackHatWorld, Hackforums, OpenSC и CPAElites.

В сообщении 2011 года на Hackforums пользователь Acidut заявил о создании ботнета с помощью набора эксплойтов, который генерировал от 3000 до 5000 новых ботов каждый день. Также Acidut добавил, что его программа может быть незаметно вложена в другие программы.

В ходе анализа было обнаружено, что пользователь Microleaves (позже «Shifter.io») объявил на BlackHatWorld о продаже 31 млн. резидентных IP-адресов для использования в качестве прокси в конце 2013 года. Тот же аккаунт продолжает продавать подписки на Shifter.io.


Согласно порталу KrebsOnSecurity , в своем сообщении на форуме BlackHatWorld в 2013 году Acidut призвал пользователей связываться с ним в Skype по имени «nevo.julian». Более того, этот адрес Skype указан на главной странице Microleaves.