El malware conocido como Ngioweb se ha utilizado para alimentar un conocido servicio de proxy residencial llamado NSOCKS, así como otros servicios como VN5Socks y Shopsocks5, según los últimos hallazgos de Lumen Technologies.

“Al menos el 80% de los bots de NSOCKS en nuestra telemetría provienen de la red de bots Ngioweb, que utiliza principalmente enrutadores de pequeñas oficinas (SOHO) y dispositivos IoT”, comentó el equipo de Black Lotus Labs de Lumen Technologies en un informe compartido con The Hacker News. “Dos tercios de estos servidores proxy están basados en EE. UU.”

“La red mantiene un promedio diario de alrededor de 35,000 bots operativos, y el 40% de ellos permanece activo durante un mes o más.”

Ngioweb, documentado por primera vez por Check Point en agosto de 2018 relacionado con una campaña del troyano Ramnit, ha sido analizado exhaustivamente en las últimas semanas por LevelBlue y Trend Micro. Estos últimos rastrean al actor de amenazas detrás de la operación, identificado como Water Barghest.

El malware, que afecta dispositivos que ejecutan Windows y Linux, recibe su nombre del dominio de comando y control (C2) registrado en 2018 como “ngioweb[.]su”.

Según Trend Micro, la botnet está compuesta por más de 20,000 dispositivos IoT en octubre de 2024. Water Barghest emplea esta botnet para encontrar y comprometer dispositivos IoT vulnerables mediante scripts automatizados, implementando el malware Ngioweb y registrándolos como proxies. Los bots infectados luego se venden en mercados de proxies residenciales.

“El proceso de monetización, desde la infección inicial hasta la disponibilidad del dispositivo como proxy en un mercado de proxy residencial, puede tomar tan solo 10 minutos, lo que refleja una operación altamente eficiente y automatizada”, señalaron los investigadores Feike Hacquebord y Fernando Mercês.

Las cadenas de ataque emplean vulnerabilidades conocidas y ataques de día cero para comprometer dispositivos IoT como cámaras, aspiradoras y controles de acceso. La botnet utiliza una arquitectura de dos niveles, con 15-20 nodos de carga que redirigen a los bots a nodos C2 de carga para recuperar y ejecutar el malware Ngioweb.

El análisis de los proxies revela que los operadores de la botnet han apuntado a una amplia gama de dispositivos, incluidos enrutadores y cámaras de marcas como NETGEAR, Uniview, Reolink, Zyxel, Comtrend, SmartRG, Linear Emerge, Hikvision y NUUO.

Las últimas investigaciones de LevelBlue y Lumen muestran que los sistemas infectados con el troyano Ngioweb se están vendiendo como servidores proxy residenciales en NSOCKS, utilizado previamente en ataques de relleno de credenciales contra Okta.

“NSOCKS vende acceso a servidores proxy SOCKS5 en todo el mundo, permitiendo a los compradores elegir la ubicación (estado, ciudad o código postal), ISP, velocidad, tipo de dispositivo infectado y antigüedad”, comentó LevelBlue. “Los precios varían entre $0.20 y $1.50 por 24 horas de acceso, dependiendo del tipo de dispositivo y el tiempo desde la infección.”

Además, los dispositivos comprometidos establecen conexiones a largo plazo con una segunda etapa de dominios C2 generados mediante un algoritmo de generación de dominios (DGA). Estos dominios actúan como “guardianes”, determinando si un dispositivo es apto para ser añadido a la red proxy.

Si el dispositivo pasa los criterios de elegibilidad, los nodos C2 lo conectan a un nodo C2 de retroconexión que lo pone disponible para su uso en el servicio proxy NSOCKS.

“Los usuarios de NSOCKS enrutan su tráfico a través de más de 180 nodos C2 de ‘reconexión’, que sirven como puntos de entrada y salida para ocultar su verdadera identidad”, explicó Lumen Technologies. “La infraestructura también permite que varios actores de amenazas creen sus propios servicios.”

Además, los servidores proxy abiertos impulsados por NSOCKS se han convertido en una vía para ataques distribuidos de denegación de servicio (DDoS) a gran escala.

Se espera que el mercado de proxies residenciales y su comercio clandestino crezcan en los próximos años, impulsados por la demanda de grupos de amenazas persistentes avanzadas (APT) y cibercriminales.

“Estas redes son explotadas por delincuentes que buscan vulnerabilidades o roban credenciales, brindándoles un medio sencillo para implementar herramientas maliciosas sin revelar su ubicación”, añadió Lumen.

Lo que resulta especialmente alarmante es el uso de servicios como NSOCKS. Con NSOCKS, los usuarios pueden elegir entre 180 países diferentes para su punto final, lo que no solo permite a los actores maliciosos dispersar sus actividades globalmente, sino que también les permite atacar entidades específicas como dominios .gov o .edu, lo que podría resultar en ataques más focalizados y dañinos.

Fuente: thehackernews.com