El malware conocido como Ngioweb se ha utilizado para impulsar un notorio servicio de proxy residencial llamado NSOCKS, as\u00ed como por otros servicios como VN5Socks y Shopsocks5, revelan nuevos hallazgos de Lumen Technologies.<\/p>\n
“Al menos el 80% de los bots NSOCKS en nuestra telemetr\u00eda se originan en la botnet Ngioweb, que utiliza principalmente enrutadores para peque\u00f1as oficinas\/oficinas dom\u00e9sticas (SOHO) y dispositivos IoT”, dijo el equipo de Black Lotus Labs en Lumen Technologies en un informe<\/a> compartido con The Hacker News. “Dos tercios de estos representantes tienen su sede en Estados Unidos”<\/p>\n “La red mantiene un promedio diario de aproximadamente 35.000 bots en funcionamiento, y el 40% permanece activo durante un mes o m\u00e1s”.<\/p>\n Ngioweb, documentado por primera vez por Check Point en agosto de 2018 en relaci\u00f3n con un Campa\u00f1a del troyano Ramnit<\/a> que distribuy\u00f3 el malware, ha sido objeto de extensos an\u00e1lisis en las \u00faltimas semanas por NivelAzul<\/a> y Tendencia Micro<\/a>el \u00faltimo de los cuales rastrea al actor de amenazas con motivaci\u00f3n financiera detr\u00e1s de la operaci\u00f3n como Water Barghest.<\/p>\n Capaz de apuntar a dispositivos que ejecutan Microsoft Windows y Linux, el malware recibe su nombre del dominio de comando y control (C2) que se registr\u00f3 en 2018 con el nombre “ngioweb[.]su.”<\/p>\n Seg\u00fan Trend Micro, la botnet comprende m\u00e1s de 20.000 dispositivos IoT en octubre de 2024, y Water Barghest la utiliza para encontrar e infiltrarse en dispositivos IoT vulnerables mediante scripts automatizados e implementar el malware Ngioweb, registr\u00e1ndolos como proxy. Luego, los bots infectados se ponen a la venta en un mercado de proxy residencial.<\/p>\n “El proceso de monetizaci\u00f3n, desde la infecci\u00f3n inicial hasta la disponibilidad del dispositivo como proxy en un mercado de proxy residencial, puede tardar tan solo 10 minutos, lo que indica una operaci\u00f3n altamente eficiente y automatizada”, dijeron los investigadores Feike Hacquebord y Fernando Merc\u00eas.<\/p>\n Las cadenas de ataques que utilizan el malware aprovechan un arsenal de vulnerabilidades y d\u00edas cero que utiliza para violar enrutadores y dispositivos dom\u00e9sticos de IoT como c\u00e1maras, aspiradoras y controles de acceso, entre otros. La botnet emplea una arquitectura de dos niveles: el primero es una red de carga que comprende entre 15 y 20 nodos, que dirige el bot a un nodo de carga C2 para la recuperaci\u00f3n y ejecuci\u00f3n del malware Ngioweb.<\/p>\n Un desglose de los servidores proxy del proveedor de proxy residencial por tipo de dispositivo muestra que los operadores de botnet se han dirigido a un amplio espectro de proveedores, incluidos NETGEAR, Uniview, Reolink, Zyxel, Comtrend, SmartRG, Linear Emerge, Hikvision y NUUO.<\/p>\n Las \u00faltimas revelaciones de LevelBlue y Lumen revelan que los sistemas infectados con el troyano Ngioweb se venden como servidores proxy residenciales para NSOCKS, que anteriormente han sido utilizados por actores de amenazas en ataques de relleno de credenciales dirigidos a Okta.<\/p>\n “NSOCKS vende acceso a servidores proxy SOCKS5 en todo el mundo, lo que permite a los compradores elegirlos por ubicaci\u00f3n (estado, ciudad o c\u00f3digo postal), ISP, velocidad, tipo de dispositivo infectado y novedad”, dijo LevelBlue. “Los precios var\u00edan entre 0,20 y 1,50 d\u00f3lares por acceso las 24 horas y dependen del tipo de dispositivo y del tiempo transcurrido desde la infecci\u00f3n”.<\/p>\n Tambi\u00e9n se ha descubierto que los dispositivos v\u00edctimas establecen conexiones a largo plazo con una segunda etapa de dominios C2 que se crean mediante un algoritmo de generaci\u00f3n de dominios (DGA). Estos dominios, que suman alrededor de 15 en un momento dado, act\u00faan como “guardianes”, determinando si vale la pena agregar los bots a la red proxy.<\/p>\n Si los dispositivos superan los criterios de elegibilidad, los nodos DGA C2 los conectan a un nodo C2 de retroconexi\u00f3n que, a su vez, los pone a disposici\u00f3n para su uso a trav\u00e9s del servicio proxy NSOCKS.<\/p>\n “Los usuarios de NSOCKS enrutan su tr\u00e1fico a trav\u00e9s de m\u00e1s de 180 nodos C2 de ‘reconexi\u00f3n’ que sirven como puntos de entrada\/salida utilizados para ocultar, o representar, su verdadera identidad”, dijo Lumen Technologies. “Los actores detr\u00e1s de este servicio no s\u00f3lo han proporcionado un medio para que sus clientes env\u00eden tr\u00e1fico malicioso, sino que la infraestructura tambi\u00e9n ha sido dise\u00f1ada para permitir que varios actores de amenazas creen sus propios servicios”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/La-botnet-Ngioweb-impulsa-la-red-proxy-residencial-NSOCKS-que.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/div>\n