Lurking Lizard: вредоносный прокси-бизнес через поддельные приложения

Скрытая инфраструктура Lurking Lizard: как троянизированные приложения строят нелегальную прокси-империю

Исследователи раскрыли механику операций группировки Lurking Lizard — устойчивого actor, превратившего компрометацию пользовательских устройств в хорошо отлаженный прокси-бизнес. Главная цель злоумышленников — не кража данных в привычном понимании, а скрытая вербовка устройств в качестве выходных узлов сети residential proxy, которая затем монетизируется через сдачу в аренду. В основе кампаний лежит обманная модель распространения trojanized software, маскирующегося под легитимные утилиты и сервисы.

Механика вербовки: trojanized приложения и поддельные бренды

Ключевой метод доставки malware — имитация популярного программного обеспечения. Наиболее показательным примером стал архивный менеджер 7-Zip. Actor зарегистрировал домен-двойник 7zip.com, визуально трудноотличимый от легитимного 7-zip.org. Пользователи, скачивавшие установочный файл с поддельного ресурса, получали функциональный архиватор, в который уже была интегрирована вредоносная нагрузка. Такой подход эксплуатирует доверие к известному софту и гарантирует, что жертва не удалит троян: приложение выполняет заявленные задачи, не вызывая немедленных подозрений.

Помимо 7-Zip, Lurking Lizard impersonated ряд VPN-сервисов. Actor поддерживал целое портфолио обобщённых доменов загрузки, создавая разветвлённую экосистему для рекрутинга новых прокси-узлов. Заражённое устройство незаметно регистрируется в пуле residential proxy и начинает обслуживать чужой трафик без ведома владельца.

  • Модифицированные инсталляторы сохраняют легитимные функции приложений.
  • Домены-двойники (например, 7zip.com) копируют официальные ресурсы.
  • Вербовка ориентирована на широкий круг пользователей без таргетирования конкретных групп.

Масштаб инфраструктуры и техники маскировки

Аналитики выявили более 230 доменов, потенциально связанных с операциями Lurking Lizard. Это указывает на структурированную, долгосрочную malicious activity, а не на серию разрозненных инцидентов. Данные регистрации свидетельствуют о вероятном происхождении actor из Китая, при этом значительная часть доменов оформлена на fake registrants. Такой приём призван скрыть истинную личность операторов и усложнить атрибуцию.

Сеть не ограничивается статичным набором узлов — она непрерывно пополняется свежими заражёнными устройствами, формируя сложную, постоянно растущую структуру residential proxy servers. Собранные ресурсы впоследствии продаются под фальшивыми брендами различных «сервисов конфиденциальности», создавая видимость легальности для арендаторов трафика.

IPLogger как связующее звено: сбор метаданных и разведка

Критическим компонентом, обнаруженным в образцах malware, стала интеграция hardcoded URL-адреса сервиса IPLogger. Этот механизм позволяет actor собирать метаданные посетителей и фиксировать IP-адреса на каждом этапе взаимодействия. Благодаря этому следы различных вредоносных кампаний — включая те, что восходят к 2022 году и используют альтернативные payloads (например, утилиты для загрузки видео), — оказываются связанными единой инфраструктурой наблюдения.

Повторяющиеся паттерны в развёртывании, структуре API и backend infrastructure укрепляют вывод: Lurking Lizard — это не хаотичный набор вредоносных инцидентов, а изощрённая операция с централизованным управлением.

WireVPN: эволюция угрозы под новой вывеской

Недавние модификации кампаний показывают, что actor активно адаптирует свои инструменты. Вредоносное ПО теперь продвигается под именем WireVPN. Образцы malware демонстрируют преемственность со старой кодовой базой, сохраняя ключевые компоненты и продолжая взаимодействовать с привычной командной инфраструктурой.

Поведенческий анализ WireVPN выявил аномалии, не характерные для легальных VPN-приложений. Программа устанавливает множество одновременных соединений и функционирует как distributed proxy network, а не как простой инструмент туннелирования личного трафика. Скомпрометированные устройства работают как выходные узлы для постороннего трафика, что напрямую подтверждает злонамеренный характер приложения.

Монетизация: от заражения к аренде «домашних» прокси

Бизнес-модель Lurking Lizard выстроена на систематическом игнорировании согласия пользователей. Устройства, заражённые trojanized software, превращаются в активы, которые сдают в аренду через нелегальные сервисы residential proxy. Клиенты таких сервисов получают IP-адреса реальных домашних сетей, что востребовано в сферах обхода геоблокировок, веб-скрапинга и, что особенно опасно, в мошеннических схемах с affiliate advertising.

«Операционная модель Lurking Lizard отражает пугающую тенденцию в современном malware-ландшафте: ресурсы конечного пользователя изымаются без ведома и конвертируются в теневой доход. Это перекликается с практиками, характерными для фрод-схем в affiliate-рекламе, где каждая скомпрометированная машина — это потенциальный инструмент обогащения», — отмечается в отчёте.

Устойчивость выявленной экосистемы, её постоянная эволюция и трансграничный характер говорят о том, что борьба с подобными кампаниями требует скоординированных усилий сообщества кибербезопасности и внимательности самих пользователей. Скачивание программ исключительно с официальных сайтов и проверка цифровых подписей остаются самыми действенными мерами защиты от скрытой вербовки устройств в прокси-армии.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: