La red de proxy de malware VIP72 de 15 años se apaga – Krebs on Security

Durante los últimos 15 años ha existido un servicio de anonimato de ciberdelincuencia conocido como el VIP72 ha permitido que innumerables estafadores oculten su verdadera ubicación en línea al enrutar su tráfico a través de millones de sistemas infectados con malware. Pero hace unas dos semanas, el escaparate en línea de VIP72, que, irónicamente, se ha mantenido en la misma dirección de Internet de EE. UU. Durante más de una década, simplemente desapareció.

Al igual que otras redes de anonimato que se comercializan principalmente en foros de delitos cibernéticos en línea, VIP72 enruta el tráfico de sus clientes a través de computadoras que han sido pirateadas y sembradas con software malicioso. Con servicios como VIP72, los clientes pueden seleccionar nodos de red en prácticamente cualquier país y enrutar su tráfico mientras se esconden detrás de la dirección de Internet de una víctima ignorante.

El dominio VIP72[.]org se publicó originalmente en 2006 el «cadáver“El cual fue adquirido por un hacker de habla rusa que varios años antes fue responsable de desarrollar y vender un troyano bancario en línea extremadamente sofisticado llamado. había caído en descrédito A311 muerte, también conocido como «Haxdoor,» y «Capturador nuclear. ”Haxdoor se adelantó a su tiempo de muchas maneras, y se usó en el robo cibernético multimillonario mucho antes de que el robo cibernético de un millón de dólares llegara a los titulares todos los días.

Un anuncio de 2005 de A311 Death, un poderoso troyano bancario, escrito por Corpse, el administrador de la primera camarilla de piratería rusa Prodexteam. Imagen: Traductor de Google a través de Archive.org.

Entre 2003 y 2006, Corpse se centró en vender y respaldar su malware Haxdoor. VIP72 se originó en 2006 y fue claramente una de sus ocupaciones secundarias que se convirtió en una fuente de ingresos confiable durante muchos años. Y es lógico que VIP72 se inició con la ayuda de sistemas que ya estaban infectados con el malware Corpse Trojan.

La primera mención de VIP72 en el ciberdelito clandestino fue en 2006 cuando alguien estaba usando el identificador.Animar“Anuncié el servicio en Exploit, un foro de piratería en ruso. Revive ha establecido una presencia de ventas para VIP72 en varios otros foros, y los detalles de contacto y los mensajes que este usuario comparte en privado con otros miembros del foro muestran que Corpse y Revive son lo mismo.

Cuando se le preguntó en 2006 si el software que se estaba ejecutando VIP72 se basaba en su software Corpse, Revive respondió que «funciona con el nuevo software Corpse escrito específicamente para nuestro servicio».

Un residente de un foro sobre delitos en ruso que se quejó del cierre inexplicable de VIP72 el mes pasado dijo que notó un cambio en la infraestructura de nombres de dominio del sitio poco antes de que desapareciera el servicio. Sin embargo, esta afirmación no se pudo verificar ya que simplemente no hay evidencia de que esta infraestructura haya cambiado antes de la desaparición de VIP72.

Realmente, A mediados de agosto, la página de inicio principal de VIP72 y la infraestructura de apoyo habían permanecido en la misma dirección de Internet en los Estados Unidos durante más de una década. – un logro notable para un servicio de ciberdelincuencia de tan alto perfil.

Los foros de ciberdelincuencia en varios idiomas están repletos de tutoriales sobre cómo usar VIP72 para ocultar su ubicación mientras se involucra en un fraude financiero. Algunos de estos tutoriales muestran que VIP72 es muy popular entre los ciberdelincuentes que se dedican al «relleno de credenciales»: listas de nombres de usuario y contraseñas robadas de un sitio y prueba cuántas de esas credenciales funcionan en otros sitios.

Corpse / Revive también ejecutó durante mucho tiempo un servicio extremadamente popular llamado check2ip[.]com, que prometía a los clientes la posibilidad de ver rápidamente si una dirección de Internet en particular había sido clasificada como maliciosa o spam por las empresas de seguridad.

Check2IP se ha alojado en la misma dirección de Internet que VIP72 durante los últimos diez años hasta mediados de agosto de 2021 y también promovió la posibilidad de permitir a los clientes detectar «fugas de DNS», instancias en las que los errores de configuración pueden revelar la verdadera dirección de Internet del ciberdelito oculto. las infraestructuras y los servicios en línea pueden descubrir.

Check2IP es tan popular que se ha convertido en una abreviatura verbal de debida diligencia básica en ciertas comunidades de delitos cibernéticos. Check2IP también se ha integrado en una amplia variedad de servicios de ciberdelincuencia en línea, especialmente aquellos involucrados en el envío masivo de mensajes de correo electrónico maliciosos y fraudulentos.

Check2IP, un servicio de reputación de IP que permite a los visitantes saber si su dirección de Internet ha sido marcada en listas de bloqueo de spam o malware.

No está claro qué sucedió con VIP72; Los usuarios informan que la red de anonimato sigue funcionando a pesar de que el sitio web del servicio ha estado inactivo durante dos semanas. Esto tiene sentido porque los sistemas infectados revendidos a través de VIP72 todavía están infectados y felizmente reenviarán el tráfico mientras permanezcan infectados. Es posible que el dominio haya sido confiscado durante una operación policial.

Sin embargo, podría ser que el servicio simplemente decidió dejar de aceptar nuevos clientes porque tuvo problemas para competir con la afluencia de servicios de proxy delictivos más nuevos y complejos, así como con la aparición de redes de proxy de consumidores «a prueba de balas». Durante la mayor parte de su existencia hasta hace poco, VIP72 solía tener varios cientos de miles de sistemas comprometidos disponibles para alquilar. Cuando el sitio web desapareció el mes pasado, ese número se había reducido a menos de 25.000 sistemas en todo el mundo.