El malware conocido como Ngioweb se ha utilizado para impulsar un notorio servicio de proxy residencial llamado NSOCKS, así como por otros servicios como VN5Socks y Shopsocks5, revelan nuevos hallazgos de Lumen Technologies.
“Al menos el 80% de los bots NSOCKS en nuestra telemetría se originan en la botnet Ngioweb, que utiliza principalmente enrutadores para pequeñas oficinas/oficinas domésticas (SOHO) y dispositivos IoT”, dijo el equipo de Black Lotus Labs en Lumen Technologies en un informe compartido con The Hacker News. “Dos tercios de estos representantes tienen su sede en Estados Unidos”
“La red mantiene un promedio diario de aproximadamente 35.000 bots en funcionamiento, y el 40% permanece activo durante un mes o más”.
Ngioweb, documentado por primera vez por Check Point en agosto de 2018 en relación con un Campaña del troyano Ramnit que distribuyó el malware, ha sido objeto de extensos análisis en las últimas semanas por NivelAzul y Tendencia Microel último de los cuales rastrea al actor de amenazas con motivación financiera detrás de la operación como Water Barghest.
Capaz de apuntar a dispositivos que ejecutan Microsoft Windows y Linux, el malware recibe su nombre del dominio de comando y control (C2) que se registró en 2018 con el nombre “ngioweb[.]su.”
Según Trend Micro, la botnet comprende más de 20.000 dispositivos IoT en octubre de 2024, y Water Barghest la utiliza para encontrar e infiltrarse en dispositivos IoT vulnerables mediante scripts automatizados e implementar el malware Ngioweb, registrándolos como proxy. Luego, los bots infectados se ponen a la venta en un mercado de proxy residencial.
“El proceso de monetización, desde la infección inicial hasta la disponibilidad del dispositivo como proxy en un mercado de proxy residencial, puede tardar tan solo 10 minutos, lo que indica una operación altamente eficiente y automatizada”, dijeron los investigadores Feike Hacquebord y Fernando Mercês.
Las cadenas de ataques que utilizan el malware aprovechan un arsenal de vulnerabilidades y días cero que utiliza para violar enrutadores y dispositivos domésticos de IoT como cámaras, aspiradoras y controles de acceso, entre otros. La botnet emplea una arquitectura de dos niveles: el primero es una red de carga que comprende entre 15 y 20 nodos, que dirige el bot a un nodo de carga C2 para la recuperación y ejecución del malware Ngioweb.
Un desglose de los servidores proxy del proveedor de proxy residencial por tipo de dispositivo muestra que los operadores de botnet se han dirigido a un amplio espectro de proveedores, incluidos NETGEAR, Uniview, Reolink, Zyxel, Comtrend, SmartRG, Linear Emerge, Hikvision y NUUO.
Las últimas revelaciones de LevelBlue y Lumen revelan que los sistemas infectados con el troyano Ngioweb se venden como servidores proxy residenciales para NSOCKS, que anteriormente han sido utilizados por actores de amenazas en ataques de relleno de credenciales dirigidos a Okta.
“NSOCKS vende acceso a servidores proxy SOCKS5 en todo el mundo, lo que permite a los compradores elegirlos por ubicación (estado, ciudad o código postal), ISP, velocidad, tipo de dispositivo infectado y novedad”, dijo LevelBlue. “Los precios varían entre 0,20 y 1,50 dólares por acceso las 24 horas y dependen del tipo de dispositivo y del tiempo transcurrido desde la infección”.
También se ha descubierto que los dispositivos víctimas establecen conexiones a largo plazo con una segunda etapa de dominios C2 que se crean mediante un algoritmo de generación de dominios (DGA). Estos dominios, que suman alrededor de 15 en un momento dado, actúan como “guardianes”, determinando si vale la pena agregar los bots a la red proxy.
Si los dispositivos superan los criterios de elegibilidad, los nodos DGA C2 los conectan a un nodo C2 de retroconexión que, a su vez, los pone a disposición para su uso a través del servicio proxy NSOCKS.
“Los usuarios de NSOCKS enrutan su tráfico a través de más de 180 nodos C2 de ‘reconexión’ que sirven como puntos de entrada/salida utilizados para ocultar, o representar, su verdadera identidad”, dijo Lumen Technologies. “Los actores detrás de este servicio no sólo han proporcionado un medio para que sus clientes envíen tráfico malicioso, sino que la infraestructura también ha sido diseñada para permitir que varios actores de amenazas creen sus propios servicios”.
Para empeorar las cosas, los proxies abiertos impulsados por NSOCKS también han surgido como una vía para que varios actores lancen poderosos ataques distribuidos de denegación de servicio (DDoS) a escala.
Se espera que el mercado comercial de servicios de proxy residencial y el mercado clandestino de proxy crezcan en los próximos años, en parte impulsado por la demanda de grupos de amenazas persistentes avanzadas (APT) y grupos de ciberdelincuentes por igual.
“Estas redes a menudo son aprovechadas por delincuentes que encuentran exploits o roban credenciales, proporcionándoles un método perfecto para implementar herramientas maliciosas sin revelar su ubicación o identidades”, afirmó Lumen.
“Lo que es particularmente alarmante es la forma en que se puede utilizar un servicio como NSOCKS. Con NSOCKS, los usuarios tienen la opción de elegir entre 180 países diferentes para su punto final. Esta capacidad no sólo permite a los actores maliciosos difundir sus actividades por todo el mundo, sino que también permite “Los dirigen a entidades específicas por dominio, como .gov o .edu, lo que podría conducir a ataques más enfocados y potencialmente más dañinos”.
About the Author
