mikro yapraklarMüşterilerin web trafiğini milyonlarca Microsoft Windows bilgisayar üzerinden yönlendirmesine olanak tanıyan on yıllık bir proxy hizmeti olan , kısa süre önce web sitelerinde tüm kullanıcı veritabanlarını açığa çıkaran bir güvenlik açığını düzeltti. Microleaves, proxy yazılımının kullanıcı onayı ile kurulduğunu iddia ediyor, ancak ihlalde açığa çıkan veriler, hizmetin, yazılımı herhangi bir şekilde dağıtmak için teşvik edilen bağlı kuruluşlar tarafından yeni proxy’lerle sağlanması konusunda uzun bir geçmişe sahip olduğunu gösteriyor – örneğin gizlice paketleyerek. diğer başlıklar.
Shifter olarak yeniden markalandırılma sürecinde olan Microleaves proxy hizmeti[.[io.
Launched in 2013, Microleaves is a service that allows customers to route their Internet traffic through PCs in virtually any country or city around the globe. Microleaves works by changing each customer’s Internet Protocol (IP) address every five to ten minutes.
The service, which accepts PayPal, Bitcoin and all major credit cards, is aimed primarily at enterprises engaged in repetitive, automated activity that often results in an IP address being temporarily blocked — such as data scraping, or mass-creating new accounts at some service online.
In response to a report about the data exposure from KrebsOnSecurity, Microleaves said it was grateful for being notified about a “very serious issue regarding our customer information.”
Abhishek Gupta is the PR and marketing manager for Microleaves, which he said in the process of being rebranded to “Shifter.io.” Gupta said the report qualified as a “medium” severity security issue in Shifter’s brand new bug bounty program (the site makes no mention of a bug bounty), which he said offers up to $2,000 for reporting data exposure issues like the one they just fixed. KrebsOnSecurity declined the offer and requested that Shifter donate the amount to the Electronic Frontier Foundation (EFF), a digital rights group.
From its inception nearly a decade ago, Microleaves has claimed to lease between 20-30 million IPs via its service at any time. Riley Kilmer, co-founder of the proxy-tracking service Spur.us, said that 20-30 million number might be accurate for Shifter if measured across a six-month time frame. Currently, Spur is tracking roughly a quarter-million proxies associated with Microleaves/Shifter each day, with a high rate of churn in IPs.
Early on, this rather large volume of IP addresses led many to speculate that Microleaves was just a botnet which was being resold as a commercial proxy service.
Proxy traffic related to top Microleaves users, as exposed by the website’s API.
The very first discussion thread started by the new user Microleaves on the forum BlackHatWorld in 2013 sought forum members who could help test and grow the proxy network. At the time, the Microleaves user said their proxy network had 150,000 IPs globally, and was growing quickly.
One of BlackHatWorld’s moderators asked the administrator of the forum to review the Microleaves post.
“User states has 150k proxies,” the forum skeptic wrote. “No seller on BHW has 150k working daily proxies none of us do. Which hints at a possible BOTNET. That’s the only way you will get 150k.”
Microleaves has long been classified by antivirus companies as adware or as a “potentially unwanted program” (PUP), the euphemism that antivirus companies use to describe executable files that get installed with ambiguous consent at best, and are often part of a bundle of software tied to some “free” download. Security vendor Kaspersky flags the Microleaves family of software as a trojan horse program that commandeers the user’s Internet connection as a proxy without notifying the user.
“While working, these Trojans pose as Microsoft Windows Update,” Kaspersky wrote.
In a February 2014 post to BlackHatWorld, Microleaves announced that its sister service — reverseproxies[.]com – şimdi bir ” teklif ediyorduOtomatik CAPTCHA Çözme HizmetiBu, birçok web sitesinin botları gerçek ziyaretçilerden ayırt etmek için kullandığı dalgalı ve bazen sinir bozucu bulmacaların çözümünü otomatikleştiriyor. CAPTCHA hizmeti, Microleaves proxy hizmetine bir eklenti olarak sunuldu ve 2 günlük deneme için 20 ABD Doları ile aynı anda 80 adede kadar captcha’yı çözmek için 320 ABD Doları arasında değişiyordu.
Microleaves, “Normal Recaptcha’yı %60-90 başarı oranıyla, recaptcha’yı %30 başarı ile ve 500’den fazla başka captcha ile kırdık” diye yazdı. “Bildiğiniz gibi, recaptcha’daki tüm başarı oranı, büyük ölçüde yeni ve spam olmayan iyi proxy’lere bağlıdır!”
ASİT KİMDİR?
Açıkta kalan Microleaves kullanıcı veritabanı, hizmette oluşturulan ilk kullanıcının – “admin” kullanıcı adının – e-posta adresini kullandığını gösteriyor. [email protected]. İhlal edilen verileri izleyen bir hizmet olan Constella Intelligence’da bu e-posta adresi üzerinde yapılan bir arama, bağlantı kısaltma hizmetinde bit.ly adı altında bir hesap oluşturmak için kullanıldığını ortaya çıkardı. Alexander Floreave kullanıcı adı “asit” [Full disclosure: Constella is currently an advertiser on this website].
Siber istihbarat şirketi Intel 471’e göre, e-posta adresiyle Acidut adlı bir kullanıcı [email protected] 2010’dan 2017’ye kadar neredeyse bir düzine karanlık para kazanma ve siber suç forumunda aktif olarak yer aldı. SiyahŞapkaDünya, tarakçı[.]profesyonel, Forumları Hackle, OpenSCve CPAElitler.
Microleaves kullanıcısı (daha sonra “Shifter.io”) BlackHatWorld’de 2013’ün sonlarında vekil olarak kullanılmak üzere 31 milyon konut IP’sinin satışının reklamını yaptı. Aynı hesap Shifter.io’ya abonelik satmaya devam ediyor.
Hackforums’ta 2011’de yayınlanan bir gönderide Acidut, saldırıya uğramış web sitelerine eklenmek ve ziyaretçilere kötü amaçlı yazılım yüklemek için yapılan bir dizi tarayıcı istismarı olan bir “sömürü kiti” kullanarak bir botnet oluşturduklarını söyledi. Acidut, istismar kitlerinin her gün 3.000 ila 5.000 yeni bot ürettiğini iddia etti. OpenSC bir noktada saldırıya uğradı ve özel mesajları, Acidut’un bir lisans satın aldığını gösteriyor. Exmanoize etmekEleonore Exploit Kit’in yaratıcısı tarafından kullanılan sap.
Kasım 2013 itibariyle, Acidut “26 milyon SOCKS konut vekilinin” satışının reklamını yapıyordu. CPAElites’e Mart 2016’da gönderdiği bir gönderide Acidut, kötü amaçlı yazılım yüklemeleri için ödeme yapan suç çetelerini, güvenliği ihlal edilmiş bilgisayarlara erişim satmak isteyen girişimci bilgisayar korsanlarıyla eşleştiren yükleme başına ödeme veya “ÜFE” planlarına dahil olan kişiler için değerli bir teklifleri olduğunu söyledi. web siteleri.
Yükleme başına ödeme bağlı kuruluş programları, yazılımın nasıl yüklenebileceği konusunda nadiren kısıtlamalar getirdiğinden, bu tür programlar, saldırıya uğramış büyük makine koleksiyonlarını ve/veya güvenliği ihlal edilmiş web sitelerini zaten kontrol eden siber suçlular için çekici olabilir. Aslında, Acidut bir adım daha ileri giderek, programlarının sessizce ve görünmez bir şekilde diğer programların içine yerleştirilebileceğini de sözlerine ekledi.
Acidut, “ÜFE yapanlarınız için yükleyicinize paketleyebileceğiniz küresel bir teklifim var,” diye yazdı. “Web sitesi ziyaretleri oluşturacak bir uygulama için çok sayıda yükleme arıyorum. Yükleyici, yükleyicinizin içinde kullanabileceğiniz sessiz bir sürüme sahiptir. Çin hariç, dünya çapında mümkün olduğunca çok günlük kurulum satın almak istiyorum.”
2014’te vekillerinin kaynağı sorulduğunda, Microleaves kullanıcısı bunun “ÜFE ağıyla ilgili bir şey” olduğunu söyledi. Daha fazlasını söyleyemem ve ayrıntılara girmeyeceğim.”
Acidut, 2013’te BlackHatWorld forumunda benzer bir mesaj yazdı ve burada kullanıcıları Skype’ta kendileriyle “kullanıcı adıyla iletişim kurmaya teşvik etti”.nevus.julian” Aynı Skype iletişim adresi, KrebsOnSecurity’nin şirkete ilk ulaştığı yaklaşık bir hafta öncesine kadar Microleaves ana sayfasında belirgin bir şekilde listeleniyordu.
İNTERNET ÜZERİNDEN[.]IO (ŞİMDİ ŞİMDİDEN ÇEVRİMDIŞI)
için bir Facebook profili var. Alexandru Iulian Florea Sosyal medya ağındaki kullanıcı adı Acidut olan Romanya, Constanta’dan. KrebsOnSecurity, Shifter’ı veri ihlali konusunda uyarmadan önce, Acidut profil sayfası Florea’yı microleaves.com, shrooms.io, sol tık[.]iove internet üzerinden[.]io. Bay Florea, birden fazla yorum talebine yanıt vermedi ve Facebook sayfasında artık bu alan adlarından bahsetmiyor.
Sol tıklama ve çevrimiçi[.]io, 2017 ve 2018 yılları arasında Microleaves’in yan kuruluşları olarak ortaya çıktı. Çevrimiçi olarak bir geliştirici pozisyonu için 2018’de yayınlanan bir yardım aranıyor ilanına göre[.]io’da şirketin hizmetleri, yatırımcılara yüzsüzce “gelişmiş reklam engelleme, izleme önleme sistemleri, kötü amaçlı yazılım koruması ve konut IP’lerine dayalı devrim niteliğinde VPN erişimi kullanarak kapsamlı koruma sunan bir siber güvenlik ve gizlilik araç kiti” olarak sunuldu.
Irish Tech News’den bir teaser.
“Çevrimiçi[.]io, ilk tamamen merkezi olmayan eşler arası ağ teknolojisini geliştiriyor ve daha hızlı, reklamsız, daha güvenilir, güvenli ve izlenemez hale getirerek tarama deneyiminde devrim yaratıyor, böylece İnternet’i can sıkıcı reklamlardan, kötü amaçlı yazılımlardan ve izleyicilerden kurtarıyor.” yardım aranıyor reklamının geri kalanını okur.
Microleaves CEO’su Alexandru Florea, 2018’de Irishtechnews.ie web sitesine bir “röportaj” verdi ve burada Online’ın nasıl olduğunu açıkladı.[.]io (OIO), ilk madeni para teklifi (ICO) ile çevrimiçi reklamcılık ve güvenlik sektörlerini alt üst edecekti. Röportaj kelimesi havadan alıntılarla yazılmıştır çünkü Florea’nın aşağıdaki ifadeleri görüşmeci tarafından ciddi bir şekilde geri çevrilmeyi hak etmiştir.
“Çevrimiçi[.]Ethereum blok zinciri kullanılarak geliştirilen io çözümü, 1 trilyon ABD dolarından fazla değere sahip dijital reklam pazarını bozmayı hedefliyor, ”diye ekledi Alexandru. “OIO tokenlerini stake ederek ve çözümümüzü uygulayarak, web sitesi operatörleri, kullanıcıların çevrimiçi olarak harcadıkları zamandan yararlanan yeni bir non-invaziv gelir akışına erişebilecekler.”
“Aynı zamanda, OIO tokenlerini hisseden internet kullanıcıları, kendileri ve World Wide Web’deki akranları tarafından çevrimiçi olarak harcanan zamandan para kazanma fırsatına sahip olacaklar” diye devam etti. “Kullanıcıların çevrim içi olarak harcadıkları zaman, ICE tokenlerinin çıkarılmasına yol açacak, bu da özel tüccar sisteminde kullanılabilecek veya borsalarda alınıp satılabilecek ve sonuç olarak fiat olarak değiştirilebilecek.”
Tercüme: Proxy bot/CAPTCHA-çözücü/reklam yazılımımızı bilgisayarınıza yüklerseniz – veya web sitenizde bir istismar kiti olarak – milyonlarca kaçırma reklamı yaparız ve yakında değersiz olacak yığınlarla ödüllendirilirsiniz. bok parası. Oh, ve tüm güvenlik sorunlarınız da ortadan kalkacak.
Kaç İnternet kullanıcısının ve web sitesinin Online ile bombardımana tutulmayı isteyerek kabul ettiği belli değil.[.]io’nun can sıkıcı reklamları ve arama korsanları – ve bilgisayarlarını başkaları için bir proxy veya CAPTCHA çözen zombiye dönüştürmek için. Ancak, kullanıcılar çevrimiçi ortamda karşılaştığında birden fazla güvenlik şirketinin söylediği şey tam olarak buydu.[.]Microsoft Windows işlem adı kullanılarak çalıştırılan io, “online-guardian.exe”
İnanılmaz şekilde, Crunchbase çevrimiçi diyor[.]io, yukarıda yapılan açıkça gülünç iddialara dayanarak, 2018’deki ilk madeni para teklifi için 6 milyon dolarlık fon topladı. Ancak o zamandan beri çevrimiçi[.]io tamamen çevrimdışı olmuş gibi görünüyor.
SÜPER TEKNİK GİRİŞİMLER?
Bu haftaya kadar Shifter.io’nun web sitesi, müşteri tabanı ve en aktif kullanıcıları ile her müşterinin aboneliklerinin ömrü boyunca ne kadar para ödediği hakkında da bilgi verdi. Veriler, Shifter’ın doğrudan ödemelerde 11.7 milyon dolardan fazla kazandığını gösteriyor, ancak bu ödeme kayıtlarının ne kadar geriye gittiği veya ne kadar eksiksiz oldukları belli değil.
Proxy hizmetinde 100.000 dolardan fazla harcayan Shifter müşterilerinin çoğu, bazıları Amerika Birleşik Devletleri’nde bulunan dijital reklam şirketleri gibi görünüyor. KrebsOnSecurity’nin ulaştığı birkaç Shifter müşterisinden hiçbiri görüşmeyi kabul etmedi.
Shifter’dan Gupta, yeni sahibi şirketi devraldığından ve markayı Shifter olarak değiştirdiğinden beri üç yıldır şirkette olduğunu söyledi.
Gupta, “Şirket uzun süredir piyasada, ancak yeni sahiplik ve yönetim devralana kadar Microleaves adlı farklı bir marka altında faaliyet gösterdi, şirket halen devam eden bir yeniden yapılanma sürecini başlattı.” Dedi. “Tamamen şeffafız. Çoğunlukla [our customers] veri kazıma nişinde çalışıyoruz, bu yüzden aslında bu bölgede daha fazla ürün geliştirdik ve geçen yıl API’lere ve entegre çözümlere doğru büyük bir geçiş yaptık.”
Ah evet, İnternet’e maruz kalan ve Shifter’ın tüm müşteri bilgilerini sızdıran aynı API’ler ve entegre çözümler.
Gupta, Microleaves’in asıl kurucusunun daha sonra işi Florea’ya satan Hindistan’dan bir adam olduğunu söyledi. Gupta’ya göre, Rumen girişimci şirketi yönetmeye çalışırken birden fazla sorun yaşadı ve ardından üç yıl önce şimdiki sahibine sattı — Süper Teknoloji GirişimleriTayvan merkezli bir özel sermaye şirketi.
“CEO’muz Wang Wei, 3 yıldan beri şirkette” dedi Gupta. “Bay. Florea, bu geçiş dönemini sonlandırdıktan iki yıl önce şirketten ayrıldı.”
Google ve diğer arama motorları, Tayvan merkezli bir Super Tech Ventures hakkında hiçbir şey bilmiyor gibi görünüyor. İnanılmaz bir şekilde, Shifter’ın kendi halkla ilişkiler sorumlusu, kendisinin de bu konuda karanlıkta olduğunu iddia etti.
“Yardım etmeyi çok isterdim, ama ana şirket hakkında gerçekten fazla bir şey bilmiyorum,” dedi Gupta, esasen “tamamen şeffaf” ifadesini geri alarak. “Onların, birden fazla sektörde özel sermayeye odaklanan daha büyük Asya yatırım firmaları grubunun bir kolu olduklarını biliyorum.”
Reklam yazılımları ve proxy yazılımları, genellikle çevrimiçi “ücretsiz” yazılım yardımcı programları veya korsan olarak kullanılan ve çeşitli PPI bağlı kuruluş şemalarına bağlı yükleyicilerle sessizce kaynaştırılan popüler yazılım başlıklarıyla birlikte paketlenir.
Ancak, aynı sıklıkta, bu müdahaleci programlar, bir yazılım paketinin parçası olarak kurulmuş olsalar bile, çoğu kullanıcının okumadığı ve kullanmak istedikleri yazılımı yüklemek için “İleri”yi tıklamadığı bir tür bildirim içerecektir. . Bu durumlarda, yükleme sırasında “temel” veya “varsayılan” ayarların seçilmesi, genellikle program başına yükleme istemlerini gizler ve birlikte verilen tüm programların yüklenmesini kabul ettiğinizi varsayar. Size gerçekte neyin kurulduğu hakkında daha iyi bir fikir verebilecek ve kurulumun belirli yönlerini kontrol etmenize izin verebilecek “özel” kurulum modunu seçmek her zaman en iyisidir.
Her iki durumda da, çevrimiçi bir yazılım veya hizmetin “ücretsiz” olması durumunda, söz konusu hizmetin sağlayıcısının faaliyetinizden para kazanmasına olanak tanıyan bir bileşenin olabileceği varsayımıyla başlamak en iyisidir. KrebsOnSecurity, 911 adlı Çin merkezli bir proxy hizmetiyle ilgili geçen haftaki haberin sonunda belirttiği gibi, çevrimiçi işlem yapmanın temel kuralı, ödeme yapan müşteri değilseniz, muhtemelen siz ve/veya cihazlarınızdır. başkalarına satılıyor.
Proxy hizmetleri hakkında daha fazla okuma:
18 Temmuz 2022: Konut Vekil Hizmeti ‘911’e Derin Bir Bakış
28 Haziran 2022: AWM Proxy ile Glupteba Botnet Arasındaki Bağlantı
22 Haziran 2022: RSOCKS Proxy Botnet Yöneticileriyle Tanışın
1 Eylül 2021: 15 Yaşındaki Kötü Amaçlı Yazılım Proxy Ağı VIP72 Kararıyor
19 Ağustos 2019: “Kurşun Geçirmez” Konut Ağlarının Yükselişi