Cybersecurity-onderzoekers hebben details bekendgemaakt van een nieuwe bedreigingsacteur genaamd Loerende hagedis dat een end-to-end kwaadaardig residentieel proxybedrijf exploiteert met behulp van een infrastructuur die meer dan 230 vergelijkbare domeinen omvat.
Volgens DNS-dreigingsinformatiebureau Infoblox dateert de activiteit minstens uit augustus 2022. Een dergelijke campagne, die eerder dit jaar werd waargenomen, betrof de acteur die slachtoffers lokte met een getrojaniseerd 7-Zip-installatieprogramma dat werd gehost op een domein met de naam “7zip(.)com”, waarbij gecompromitteerde apparaten heimelijk werden gerecruteerd als proxy-nodes.
Het is ook bekend dat Lurking Lizard zich voordoet als grote proxyproviders, waaronder IPIDEA, SmartProxy (nu Decodo), IP Royal en 911Proxy, om nog maar te zwijgen van het feit dat het zo ver gaat om nep-“onafhankelijke” beoordelingssites te runnen om verkeer naar zijn eigen oplichtingswinkels te leiden. Interessant is dat de infrastructuur van IPIDEA eerder deze januari door Google werd ontmanteld tijdens een operatie.
Uit latere bevindingen van Proxyway is gebleken dat 773.087 unieke IP-adressen gekoppeld aan SmartProxy ook aanwezig waren in een openbaar beschikbare IPIDEA IP-dataset bestaande uit 16.192.293 unieke IP’s, wat aangeeft dat SmartProxy “de infrastructuur van IPIDEA rechtstreeks doorverkoopt of deze gebruikt als een belangrijke IP-bron.”
WHOIS-analyse en vingerafdrukken van de infrastructuur suggereren dat Lurking Lizard een in China gevestigde speler is, waarbij het illegale plan ook populaire VPN’s en diensten zoals HeroSMS gebruikt als lokvogels om de proxy-malware te verspreiden.
Een van de opvallende aspecten van de modus operandi van de tegenstander draait om het verwerven van domeinen wanneer deze verlopen, om zo hun opgebouwde geschiedenis en legitimiteit te erven, een techniek die bekend staat als drop-catcher. In sommige gevallen heeft de aanvaller misbruik gemaakt van de waargenomen legitimiteit rond domeinnamen waarnaar onjuist wordt verwezen (bijvoorbeeld “7zip(.)com” in plaats van “7-zip(.)org”) om deze in hun voordeel te gebruiken.
Verdere analyse van de IPLogger-URL (“iplogger(.)com/mnWD”) ingebed in de voorbeelden die verband houden met de 7-Zip-campagne heeft aan het licht gebracht dat dezelfde onderliggende infrastructuur is gebruikt om nep-installatieprogramma’s te bedienen voor 7-Zip, WhatsApp, tools die ten onrechte TikTok- en YouTube-downloaders claimen, en WireVPN.
Het gebruik van de WireVPN-branding vertegenwoordigt de nieuwste evolutie van de campagne, waarbij gebruik wordt gemaakt van een veelzijdige aanpak om gebruikers op verschillende besturingssystemen te targeten, waaronder Android, macOS en Windows. Eén zo’n Android-app, genaamd “wirevpn – Fast Unlimited Proxy” en ontwikkeld door een in het Verenigd Koninkrijk gevestigd bedrijf genaamd WEILAI NETWORK TECHNOLOGY CO., LIMITED, heeft meer dan 1 miljoen downloads verzameld, hoewel het onduidelijk is of deze downloads organisch zijn.

“In de oorspronkelijke 7-Zip-campagne werden slachtoffers doorverwezen naar kwaadaardige installatieprogramma’s via tutorial-inhoud, zoekgestuurde detectie en lookalike-domeinen”, aldus Infoblox. “Of vergelijkbare technieken gebruikers naar de huidige desktopvarianten drijven is onduidelijk, maar de mobiele applicaties kunnen als extra acquisitiekanaal dienen.”
Het is ook onduidelijk of dezelfde proxyfunctionaliteit (dwz een exit-knooppunt dat verkeer van derden door de apparaten van slachtoffers leidt) aanwezig is in de mobiele applicaties, en of deze alleen beperkt is tot de desktopapplicaties. Hoe dan ook schetsen ze een beeld van wat lijkt op een onwettig proxy-bedrijf dat een gecoördineerd ecosysteem voedt dat zich uitstrekt over slachtofferwerving, proxy-infrastructuur, marketing en het genereren van inkomsten.
Het resultaat is een end-to-end-operatie die twee verschillende fasen doorloopt:
- Door trojans beheerde installatieprogramma’s, mobiele applicaties en andere lokmiddelen rekruteren slachtofferapparaten in een door actoren bestuurd proxy-botnet.
- Vervolgens wordt geld verdiend met de pool via vergelijkbare proxy-servicemerken, terwijl nep-recensiesites verkeer naar de winkelpuien van de acteur helpen leiden.
“We zijn getroffen door de parallellen tussen de onlangs aan het licht gebrachte criminele activiteiten in de residentiële proxy-ruimte en de malvertising die affiliate-advertenties teistert”, aldus Infoblox. “Er is een voor de hand liggend verhaal: je tv maakt misschien deel uit van een gigantisch botnet dat aanvallen uitvoert via het internet. Maar het echte verhaal is veel complexer en oplossingen zijn nog steeds ongrijpbaar.”
“In plaats van één enkele malwarecampagne te voeren, beheert Lurking Lizard meerdere fasen van de levenscyclus van residentiële proxy’s gedurende meerdere jaren, van het verwerven van slachtofferapparaten tot het op de markt brengen en verkopen van toegang tot het resulterende netwerk.”
De ontwikkeling komt dagen nadat Google aankondigde dat het het residentiële proxy-netwerk van NetNut (ook bekend als Popa) aanzienlijk had gedegradeerd, waardoor minstens 2 miljoen apparaten, zoals smart-tv’s en streamingboxen, werden omgezet in kanalen voor ongeautoriseerd netwerkverkeer via SDK’s met malware die vooraf zijn geïnstalleerd vóór aankoop of via apps die een verborgen proxycode bevatten.
“Dit brengt ernstige risico’s met zich mee voor nietsvermoedende apparaateigenaren, omdat hun thuis-IP-adressen door aanvallers kunnen worden gebruikt als startpunt voor hacking en andere ongeoorloofde activiteiten”, aldus Google. “Als gevolg hiervan kunnen gebruikers hun legitieme verkeer als verdacht laten markeren of blokkeren door hun serviceproviders.”