⚡ Não perca: notÃcia importante no ar! ⚡
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
IPIDEA, uma das maiores redes proxy residenciais usadas por agentes de ameaças, foi interrompida no inÃcio desta semana pelo Google Threat Intelligence Group (GTIG) em colaboração com parceiros da indústria.
A ação incluiu a remoção de domÃnios associados aos serviços IPIDEA, gerenciamento de dispositivos infectados e roteamento de tráfego de proxy. Além disso, foram compartilhadas informações sobre os kits de desenvolvimento de software (SDK) da IPIDEA que distribuÃram a ferramenta de proxy.
Os operadores do IPIDEA o anunciaram como um serviço VPN que “criptografa seu tráfego online e oculta seu endereço IP real”, usado por 6,7 milhões de usuários em todo o mundo.
As redes proxy residenciais usam endereços IP de usuários domésticos ou de pequenas empresas para rotear o tráfego após comprometer dispositivos na rede. Normalmente, a infecção ocorre por meio de aplicativos e softwares trojanizados que se apresentam como utilitários úteis.
Em uma carta judicial, o Google explica que os agentes de ameaças usam proxies residenciais em diversas atividades maliciosas, como tomada de controle de contas, criação de contas falsas, roubo de credenciais e exfiltração de informações confidenciais.
“Ao encaminhar o tráfego através de uma série de dispositivos de consumo em todo o mundo, os atacantes podem mascarar a sua actividade maliciosa sequestrando estes endereços IP. Isto gera desafios significativos para os defensores da rede detectarem e bloquearem actividades maliciosas”, afirma hoje o Google num relatório.
No caso da IPIDEA, o GTIG observou uma série de atividades maliciosas, com mais de 550 grupos de ameaças distintos utilizando os seus nós de saÃda numa única semana, incluindo atores da China, Irão, Rússia e Coreia do Norte.
As atividades observadas incluÃram acesso à s plataformas SaaS das vÃtimas, pulverização de senhas, controle de botnets e ofuscação de infraestrutura. Anteriormente, o Cisco Talos vinculou a IPIDEA a ataques de força bruta em grande escala direcionados a serviços VPN e SSH.
A infraestrutura da IPIDEA também suportou botnets DDoS que quebraram recordes, como Aisuru e Kimwolf.
O Google diz que a IPIDEA registrou dispositivos usando pelo menos 600 aplicativos Android trojanizados que incorporavam SDKs de proxy (Packet SDK, Castar SDK, Hex SDK, Earn SDK) e mais de 3.000 binários trojanizados do Windows se passando por OneDriveSync ou Windows Update.
Página inicial de um IPIDEA SDKFonte: Google
A IPIDEA promoveu vários aplicativos de VPN e proxy para usuários do Android que secretamente transformaram seus dispositivos em nós de saÃda de proxy sem seu conhecimento ou consentimento.
De acordo com o Google, as operadoras da IPIDEA administravam pelo menos 19 empresas de proxy residencial que fingiam ser serviços legÃtimos e vendiam acesso a dispositivos comprometidos com o malware BadBox 2.0. Algumas das marcas associadas estão listadas abaixo:
Proxy 360 (360proxy\.com)
Proxy 922 (922proxy\.com)
Proxy ABC (abcproxy\.com)
Proxy cereja (cherryproxy\.com)
VPN de porta (doorvpn\.com)
VPN Galeão (galleonvpn\.com)
IP2 Mundo (ip2world\.com)
Ipidea (ipidea\.io)
Proxy Luna (lunaproxy\.com)
Proxy PIA S5 (piaproxy\.com)
Proxy PY (pyproxy\.com)
VPN rabanete (radishvpn\.com)
Proxy de guia (tabproxy\.com)
Aman VPN (extinto)
Apesar das múltiplas marcas, todos os serviços estão ligados a uma infraestrutura centralizada sob o controlo único dos operadores IPIDEA, que permanecem não identificados.
O Google Play Protect agora detecta e bloqueia automaticamente em dispositivos Android atualizados e certificados os aplicativos que incluem SDKs relacionados à IPIDEA.
Quanto à sua estrutura, o Google explica que o IPIDEA operava num sistema de comando e controle (C2) de dois nÃveis. O primeiro nÃvel fornece configuração e tempo, além das listas de nós do segundo nÃvel.
De acordo com os pesquisadores, o segundo nÃvel compreendia cerca de 7.400 servidores que atribuÃam tarefas de proxy e retransmitiam o tráfego.
Visão geral estrutural da IPIDEAFonte: Google
Os pesquisadores do Google observam que as operadoras das redes também ofereciam serviços VPN gratuitos por meio de aplicativos que forneciam a funcionalidade anunciada. Porém, os dispositivos foram adicionados à rede IPIDEA, atuando como um nó de saÃda.
Embora a acção do GTIG e dos seus parceiros tenha provavelmente tido um impacto significativo nas operações da IPIDEA, o actor da ameaça pode tentar reconstruir a sua infra-estrutura. Atualmente, não há prisões ou acusações anunciadas.
Os usuários devem permanecer cautelosos com aplicativos que oferecem pagamento em troca de largura de banda, bem como VPNs gratuitas e aplicativos proxy de editores não confiáveis.
Folha de dicas de segurança secreta: da expansão ao controle
Esteja você limpando chaves antigas ou configurando proteções para código gerado por IA, este guia ajuda sua equipe a construir com segurança desde o inÃcio.
Obtenha a folha de dicas e elimine as suposições no gerenciamento de segredos.
Baixe agora
A ação incluiu a remoção de domÃnios associados aos serviços IPIDEA, gerenciamento de dispositivos infectados e roteamento de tráfego de proxy. Além disso, foram compartilhadas informações sobre os kits de desenvolvimento de software (SDK) da IPIDEA que distribuÃram a ferramenta de proxy.
Os operadores do IPIDEA o anunciaram como um serviço VPN que “criptografa seu tráfego online e oculta seu endereço IP real”, usado por 6,7 milhões de usuários em todo o mundo.
As redes proxy residenciais usam endereços IP de usuários domésticos ou de pequenas empresas para rotear o tráfego após comprometer dispositivos na rede. Normalmente, a infecção ocorre por meio de aplicativos e softwares trojanizados que se apresentam como utilitários úteis.
Em uma carta judicial, o Google explica que os agentes de ameaças usam proxies residenciais em diversas atividades maliciosas, como tomada de controle de contas, criação de contas falsas, roubo de credenciais e exfiltração de informações confidenciais.
“Ao encaminhar o tráfego através de uma série de dispositivos de consumo em todo o mundo, os atacantes podem mascarar a sua actividade maliciosa sequestrando estes endereços IP. Isto gera desafios significativos para os defensores da rede detectarem e bloquearem actividades maliciosas”, afirma hoje o Google num relatório.
No caso da IPIDEA, o GTIG observou uma série de atividades maliciosas, com mais de 550 grupos de ameaças distintos utilizando os seus nós de saÃda numa única semana, incluindo atores da China, Irão, Rússia e Coreia do Norte.
As atividades observadas incluÃram acesso à s plataformas SaaS das vÃtimas, pulverização de senhas, controle de botnets e ofuscação de infraestrutura. Anteriormente, o Cisco Talos vinculou a IPIDEA a ataques de força bruta em grande escala direcionados a serviços VPN e SSH.
A infraestrutura da IPIDEA também suportou botnets DDoS que quebraram recordes, como Aisuru e Kimwolf.
O Google diz que a IPIDEA registrou dispositivos usando pelo menos 600 aplicativos Android trojanizados que incorporavam SDKs de proxy (Packet SDK, Castar SDK, Hex SDK, Earn SDK) e mais de 3.000 binários trojanizados do Windows se passando por OneDriveSync ou Windows Update.
Página inicial de um IPIDEA SDKFonte: Google
A IPIDEA promoveu vários aplicativos de VPN e proxy para usuários do Android que secretamente transformaram seus dispositivos em nós de saÃda de proxy sem seu conhecimento ou consentimento.
De acordo com o Google, as operadoras da IPIDEA administravam pelo menos 19 empresas de proxy residencial que fingiam ser serviços legÃtimos e vendiam acesso a dispositivos comprometidos com o malware BadBox 2.0. Algumas das marcas associadas estão listadas abaixo:
Proxy 360 (360proxy\.com)
Proxy 922 (922proxy\.com)
Proxy ABC (abcproxy\.com)
Proxy cereja (cherryproxy\.com)
VPN de porta (doorvpn\.com)
VPN Galeão (galleonvpn\.com)
IP2 Mundo (ip2world\.com)
Ipidea (ipidea\.io)
Proxy Luna (lunaproxy\.com)
Proxy PIA S5 (piaproxy\.com)
Proxy PY (pyproxy\.com)
VPN rabanete (radishvpn\.com)
Proxy de guia (tabproxy\.com)
Aman VPN (extinto)
Apesar das múltiplas marcas, todos os serviços estão ligados a uma infraestrutura centralizada sob o controlo único dos operadores IPIDEA, que permanecem não identificados.
O Google Play Protect agora detecta e bloqueia automaticamente em dispositivos Android atualizados e certificados os aplicativos que incluem SDKs relacionados à IPIDEA.
Quanto à sua estrutura, o Google explica que o IPIDEA operava num sistema de comando e controle (C2) de dois nÃveis. O primeiro nÃvel fornece configuração e tempo, além das listas de nós do segundo nÃvel.
De acordo com os pesquisadores, o segundo nÃvel compreendia cerca de 7.400 servidores que atribuÃam tarefas de proxy e retransmitiam o tráfego.
Visão geral estrutural da IPIDEAFonte: Google
Os pesquisadores do Google observam que as operadoras das redes também ofereciam serviços VPN gratuitos por meio de aplicativos que forneciam a funcionalidade anunciada. Porém, os dispositivos foram adicionados à rede IPIDEA, atuando como um nó de saÃda.
Embora a acção do GTIG e dos seus parceiros tenha provavelmente tido um impacto significativo nas operações da IPIDEA, o actor da ameaça pode tentar reconstruir a sua infra-estrutura. Atualmente, não há prisões ou acusações anunciadas.
Os usuários devem permanecer cautelosos com aplicativos que oferecem pagamento em troca de largura de banda, bem como VPNs gratuitas e aplicativos proxy de editores não confiáveis.
Folha de dicas de segurança secreta: da expansão ao controle
Esteja você limpando chaves antigas ou configurando proteções para código gerado por IA, este guia ajuda sua equipe a construir com segurança desde o inÃcio.
Obtenha a folha de dicas e elimine as suposições no gerenciamento de segredos.
Baixe agora
#samirnews #samir #news #boletimtec #google #interrompe #redes #proxy #residenciais #ipidea #alimentadas #por #malware
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário