Il malware è stato nominato ProxyBack ed è stato dapprima scoperto marzo 2014, ma il suo funzionamento è stato solo di recente compreso dai ricercatori.
Gli esperti di Palo Alto Networks ritengono che la maggior parte degli istituti educativi situati in Europa sono diventati i bersagli di questo malware oltre che i PC domestii che vengono attaccati per convogliare il traffico internet illegalmente.
Questi PC infetti non vengono utilizzati per nascondere la posizione di un hacker, ma sono pubblicizzati come server proxy di fiducia elencati in un servizio proxy in linea dalla periferia russa.
ProxyBack in primo luogo da infetta un PC e crea una connessione con il server proxy attaccante controllato da dove riceve i comandi e anche il traffico che deve essere indirizzato ai server web reali.
Ogni PC infettato dal ProxyBack diventa un bot all’interno di una rete più grande che è già controllato dagli aggressori, che poi inviano istruzioni tramite richieste HTTP di base.
Fino al 23 dicembre 2015 ProxyBack ha infettato 11.149 computer.
Ogni macchina infetta viene dato un parametro ID univoco nelle richieste HTTP che vengono inviate dal server C & C.
Questo numero viene lentamente incrementato di uno per ogni singola macchina.
Anche se i ricercatori non hanno potuto trovare alcuna traccia elettronica affidabile per identificare gli autori che utilizzano il buyproxy.rudomain hanno però scoperto che gli IP di alcune delle macchine infette è comparsa nella loro pubblicità on-line come IP di alcuni dei server proxy disponibili.
Jeff White da Palo Alto Networks dice:
“Non siamo certi che le persone che stanno dietro ‘ Buyproxy.ru’ siano responsabili della distribuzione del malware ProxyBack tuttavia è chiaro che il malware ProxyBack è progettato per essere utilizzao nei loro servizi. “