Malwarebytes

El malware que convierte su máquina en un puerto remoto para tráfico no autorizado ha evolucionado más allá de la propagación a través de adware y se ha integrado en el servicio VPN VIP72.

Bunitu Proxy es un troyano que expone las máquinas infectadas para que actúen como proxy para clientes remotos. Una vez instalado en una máquina, el malware abre puertos para conexiones remotas, se registra en la base de datos del cliente (envía datos sobre su dirección y puertos abiertos a los controladores) y acepta conexiones en los puertos expuestos.

Esto, a su vez, puede ralentizar el tráfico de la red o redirigir las IP infectadas como fuente de tráfico y actividades ilegales, lo que podría incriminar a un individuo en actividades en línea de las que no sabe nada.

El malware, que forma parte de una botnet más amplia, evoluciona lentamente y puede ser detectado por soluciones antivirus. Si bien el código no es el más sigiloso que existe, la distribución del malware ha llevado a los investigadores a descubrir conexiones entre Bunitu y un conocido servicio VPN.

En una publicación de blog, Jérôme Segura, investigador senior de seguridad de Malwarebytes, dijo que los analistas de la empresa, junto con la empresa de fraude publicitario Sentrant, han estado explorando recientemente la distribución de Bunitu. El malware se descubrió previamente en campañas de publicidad maliciosa y se convirtió en parte de la carga útil de los kits de explotación Neutrino y Angler. Sin embargo, las solicitudes recientes de botnets no están relacionadas con el fraude publicitario; en cambio, se está utilizando una red privada virtual (VPN) para ocultar las huellas de Bunitu. El equipo dice:

“Creemos que los operadores de la botnet Bunitu están vendiendo acceso a bots proxy infectados como una forma de monetizar su botnet.
Las personas que utilizan ciertos proveedores de servicios VPN para proteger su privacidad desconocen por completo que el backend utiliza una infraestructura criminal de ordenadores infectados en todo el mundo”.

Durante la investigación de la empresa, surgió VIP72. VIP72 es un servicio VPN económico que promociona IP falsa de software “Hidemyass, Socks Vip72, Pure VPN, VPS US”. [addresses which] le ayudará a ganar dinero con una red eficaz.”

Sin embargo, según Malwarebytes, la VPN también está “muy involucrada con la botnet Bunitu y sus proxies”.

Para probar la teoría, la compañía desarrolló su propio bunitu honeypot y realizó ingeniería inversa en el protocolo de comando y control (C&C) antes de desarrollar un script que imitaba la solicitud de registro de proxy y registraba las URL de solicitud. Después de registrar el honeypot, Malwarebytes descubrió que muchas de las solicitudes recibidas provienen de VIP72.

El equipo registró una cuenta con VIP72 para investigar por qué los clientes que ya estaban conectados a un proxy estaban visitando un segundo proxy y descubrieron que el honeypot de Malwarebytes figuraba como una dirección IP de salida disponible.

Si bien esto no es una prueba de que VIP72 esté usando proxies de botnet Bunitu a sabiendas y podría simplemente haber escaneado la web en busca de proxies abiertos que no requieran autenticación, un error en el sistema mantiene la dirección IP de un proxy 'host' registrado originalmente, incluso si el el proxy se mueve a una nueva dirección.

Para demostrar que VIP72 está utilizando proxies Bunitu como puntos de salida, el equipo registró un proxy Bunitu de una IP de honeypot a otra dirección IP de honeypot separada, y el proxy 'host' todavía aparecía con la IP original.

Malwarebytes dice:

“Si VIP72 estuviera simplemente escaneando Internet en busca de servidores proxy abiertos, es posible que hubieran identificado nuestros servidores proxy (IP antiguo y nuevo) en diferentes momentos. Sin embargo, sin tener acceso al servidor Bunitu C2 y al ID del bot, no hay forma de que podrían haber asociado esas IP al mismo proxy.

Esto es una prueba de que los operadores de VIP72 también tienen acceso directo al servidor de la botnet Bunitu y utilizan hosts infectados por Bunitu como servidores proxy para su servicio”.

El estudio también sugiere que los distribuidores de la botnet difieren según la ubicación de las máquinas infectadas con Bunitu. En Estados Unidos y Canadá, el proveedor de VPN es VIP72, pero en Europa las características del tráfico son completamente diferentes, lo que sugiere que está involucrado otro proveedor de VPN desconocido.

“Nuestra hipótesis es que la botnet es operada por un intermediario que revende un conjunto de bots a varios proveedores. Luego, los bots se asignan a redes VPN particulares según su geolocalización”, señala la empresa.

Malwarebytes espera que este análisis, aunque sólo esté parcialmente completo, anime a las autoridades y otras empresas de seguridad a interesarse y eventualmente reducir el tamaño de la botnet.

20 artículos y regalos imprescindibles para el regreso a clases y la universidad

Siga leyendo: Las mejores opciones

En fotos: