Владельцы российского ресурса Proxybox, предлагающего услуги прокси-сервера и анонимайзера, заражали ПК своих клиентов бэкдором, формируя из них ботнет. Число пострадавших оценивается в «сотни тысяч». Под прикрытием платного сервиса анонимизации российские злоумышленники подключали компьютеры своих клиентов к бот-сети. Об этом сообщила компания Symantec. Согласно документу Symantec, злоумышленники распространяли бэкдор Backdoor.Proxybox среди пользователей довольно известного легального сервиса Proxybox.name, предоставляющего услуги прокси-сервера, антивирусного сканера и VPN.
Вместе с заявленными услугами подписчики Proxybox получали бэкдор. В Symantec отмечают, что цена $40 за предоставляемый комплект сервисов невысока, а потому злоумышленникам удалось привлечь и включить в ботнет «сотни тысяч» клиентов. Постоянный размер сформированного ботнета поддерживается на уровне около 40 тыс. активных компьютеров.
В Symantec отмечают российское происхождение авторов Proxybox и ботнета.
Во всех рекламных объявлениях российского хакера – владельца Proxybox – есть ссылка на один из принадлежащих ему четырех веб-сайтов, каждый из которых связан с распространением вредоносного ПО: это предоставляющий доступ в интернет через прокси proxybox.name, предоставляющий услуги VPN vpnlab.ru, антивирусный сайт avcheck.ru и сервис по предоставлению услуг тестирования прокси whoer.net.
Все четыре сайта перекрестно связаны между собой баннерами. В качестве контакта на всех них указан один и тот же номер ICQ. Платные услуги, предлагаемые на этих сайтах, можно оплатить через одни и те же платежные системы: WebMoney, Liberty Reserve и RoboKassa.
В результате изучения счетов платежных систем, ассоциированных с этими сайтами, специалисты Symantec обнаружили, что они связаны с жителем России, носящим украинское имя. Другая информация об этом пользователе недоступна, однако, как подчеркивают в Symantec, эксперты компании активно сотрудничают с правоохранительными органами стран, имеющих отношение к этим серверам управления.