Microfeuilles, un service proxy vieux de dix ans qui permet aux clients d’acheminer leurs visiteurs Internet par des milliers et des milliers d’ordinateurs Microsoft Windows, a récemment monté une vulnérabilité de leur site Web qui a révélé l’ensemble de leur base de données de personnes. Microleaves affirme que son logiciel proxy est installé avec le consentement de l’utilisateur, mais les informations découvertes dans la violation montrent que le service a une longue histoire d’être équipé de nouveaux proxys par des associés incités à distribuer le logiciel de n’importe quelle manière – comme en le regroupant secrètement avec différents titres.
Le service proxy Microleaves, qui est dans la stratégie d’être rebaptisé Shifter[.[io.
Launched in 2013, Microleaves is a service that allows customers to route their Internet traffic through PCs in virtually any country or city around the globe. Microleaves works by changing each customer’s Internet Protocol (IP) address every five to ten minutes.
The service, which accepts PayPal, Bitcoin and all major credit cards, is aimed primarily at enterprises engaged in repetitive, automated activity that often results in an IP address being temporarily blocked — such as data scraping, or mass-creating new accounts at some service online.
In response to a report about the data exposure from KrebsOnSecurity, Microleaves said it was grateful for being notified about a “very serious issue regarding our customer information.”
Abhishek Gupta is the PR and marketing manager for Microleaves, which he said in the process of being rebranded to “Shifter.io.” Gupta said the report qualified as a “medium” severity security issue in Shifter’s brand new bug bounty program (the site makes no mention of a bug bounty), which he said offers up to $2,000 for reporting data exposure issues like the one they just fixed. KrebsOnSecurity declined the offer and requested that Shifter donate the amount to the Electronic Frontier Foundation (EFF), a digital rights group.
From its inception nearly a decade ago, Microleaves has claimed to lease between 20-30 million IPs via its service at any time. Riley Kilmer, co-founder of the proxy-tracking service Spur.us, said that 20-30 million number might be accurate for Shifter if measured across a six-month time frame. Currently, Spur is tracking roughly a quarter-million proxies associated with Microleaves/Shifter each day, with a high rate of churn in IPs.
Early on, this rather large volume of IP addresses led many to speculate that Microleaves was just a botnet which was being resold as a commercial proxy service.
Proxy traffic related to top Microleaves users, as exposed by the website’s API.
The very first discussion thread started by the new user Microleaves on the forum BlackHatWorld in 2013 sought forum members who could help test and grow the proxy network. At the time, the Microleaves user said their proxy network had 150,000 IPs globally, and was growing quickly.
One of BlackHatWorld’s moderators asked the administrator of the forum to review the Microleaves post.
“User states has 150k proxies,” the forum skeptic wrote. “No seller on BHW has 150k working daily proxies none of us do. Which hints at a possible BOTNET. That’s the only way you will get 150k.”
Microleaves has long been classified by antivirus companies as adware or as a “potentially unwanted program” (PUP), the euphemism that antivirus companies use to describe executable files that get installed with ambiguous consent at best, and are often part of a bundle of software tied to some “free” download. Security vendor Kaspersky flags the Microleaves family of software as a trojan horse program that commandeers the user’s Internet connection as a proxy without notifying the user.
“While working, these Trojans pose as Microsoft Windows Update,” Kaspersky wrote.
In a February 2014 post to BlackHatWorld, Microleaves announced that its sister service — reverseproxies[.]com – fournissait maintenant un «Service de correction automatique de CAPTCHA», qui automatise la résolution de ces énigmes sinueuses et généralement irritantes que de nombreux sites Web utilisent pour différencier les bots des véritables invités. Le service CAPTCHA a été fourni en tant que module complémentaire du service proxy Microleaves et sa valeur variait de 20 USD pour un essai de 2 jours à 320 USD pour la correction simultanée de 80 captchas.
“Nous cassons le Recaptcha régulier avec une charge de réussite de 60 à 90 %, le recaptcha avec des blobs de 30 % de succès et plus de 500 captcha différents”, a écrit Microleaves. “Comme vous le savez déjà, tous les frais de réussite sur recaptcha reposent en grande partie sur de bons proxies contemporains et jamais spammés !”
QUI EST ACIDUT ?
La base de données d’utilisateurs Microleaves découverte montre que la première personne créée sur le service – nom d’utilisateur “admin” – a utilisé l’adresse e-mail alex.iulian@aol.com. Une recherche sur cette adresse e-mail dans Constellation Intelligenceun service qui suit les connaissances piratées, révèle qu’il a été utilisé pour créer un compte sur le service de raccourcissement d’hyperlien bit.ly sous le titre Alexandru Floreaet le nom d’utilisateur “Acidut.” [Full disclosure: Constella is currently an advertiser on this website].
En accord avec la firme de cyber intelligence Intel 471une personne nommée Acidut avec l’adresse e-mail iulyan87_4u@gmail.com a eu une présence animée sur près d’une douzaine de conseils d’administration de l’ombre et de la cybercriminalité de 2010 à 2017, ainsi que BlackHatWorld, Cardeur[.]professionnelle, Forums de piratage, OpenSCet CPAElites.
La personne Microleaves (plus tard « Shifter.io ») a commercialisé sur BlackHatWorld la vente de 31 millions d’IP résidentielles à utiliser comme proxies, fin 2013. Le même compte continue de promouvoir les abonnements à Shifter.io.
Dans une publication de 2011 sur Hackforums, Acidut a déclaré qu’ils avaient construit un botnet en utilisant un “package d’exploitation”, un ensemble d’exploits de navigateur conçus pour être intégrés dans des sites Web piratés et imposer des logiciels malveillants aux utilisateurs. Acidut a affirmé que son package d’exploit produisait de 3 000 à 5 000 nouveaux bots chaque jour. OpenSC a été piraté à un niveau, et ses messages non publics présentent Acidut acheté une licence de Exmanoizel’accord utilisé par le créateur du Kit d’exploitation Éléonore.
En novembre 2013, Acidut faisait la promotion de la vente de « 26 millions de proxys résidentiels SOCKS ». Dans un message de mars 2016 à CPAElites, Acidut a déclaré qu’ils auraient une offre intéressante pour les personnes concernées par systèmes de paiement par installation ou « PPI »qui associent des gangs légaux qui paient pour l’installation de logiciels malveillants à des pirates informatiques entreprenants cherchant à promouvoir l’accès à des PC et à des sites Web compromis.
Étant donné que les systèmes d’affiliation payants à l’installation n’imposent presque jamais de restrictions sur la manière dont le logiciel peut être installé, de telles applications pourraient être intéressantes pour les cybercriminels qui gèrent déjà d’énormes collections de machines piratées et/ou de sites Web compromis. Certes, Acidut est allé un peu plus loin, y compris que leur programme pourrait être imbriqué discrètement et de manière invisible dans différentes applications.
“Pour ceux d’entre vous qui font du PPI, j’ai une offre mondiale que vous pouvez regrouper avec votre installateur”, a écrit Acidut. “Je recherche de nombreuses installations pour une application susceptible de générer des visites sur le site Web. Le programme d’installation dispose d’un modèle de silence que vous devez utiliser dans votre programme d’installation. Je cherche à acheter autant d’installations quotidiennes que possible dans le monde entier, en dehors de la Chine. »
Interrogée sur la fourniture de leurs procurations en 2014, la personne de Microleaves a répondu que c’était « quelque chose d’associé à une communauté PPI. Je ne peux pas en dire plus et je n’entrerai pas dans les détails.
Acidut a écrit le même message sur le forum BlackHatWorld en 2013, où ils ont incité les clients à les contacter sur Skype avec le nom d’utilisateur “nevo.julian.” Ce même contact Skype figurait en bonne place sur la page d’accueil de Microleaves jusqu’à il y a environ une semaine lorsque KrebsOnSecurity a contacté l’entreprise pour la première fois.
EN LIGNE[.]IO (MAINTENANT HORS LIGNE)
Il y a un Facebook profil pour un Alexandru Iulian Florea de Constanta, Roumanie, dont le nom d’utilisateur sur la communauté des médias sociaux est Acidut. Avant que KrebsOnSecurity n’alerte Shifter de sa violation de connaissances, la page Web du profil Acidut associait Florea aux sites Web microleaves.com, shrooms.io, click gauche[.]ioet en ligne[.]io. M. Florea n’a pas répondu à plusieurs demandes de commentaires, et sa page Facebook ne mentionne pas ces domaines.
Clic gauche et en ligne[.]io est devenu une filiale de Microleaves entre 2017 et 2018. Conformément à une annonce de besoin d’assistance publiée en 2018 pour un poste de développeur en ligne[.]io, les sociétés de l’entreprise avaient été ouvertement présentées aux commerçants comme “un ensemble d’instruments de cybersécurité et de confidentialité, offrant une sécurité intensive utilisant un blocage des publicités supérieur, des méthodes anti-pistage, une sécurité contre les logiciels malveillants et une entrée VPN révolutionnaire principalement basée sur des adresses IP résidentielles”.
Un teaser d’Irish Tech Information.
“En ligne[.]io crée la première expérience de mise en réseau peer-to-peer totalement décentralisée et révolutionne l’expérience de recherche en la rendant plus rapide, sans publicité, plus fiable, sûre et non traçable, libérant ainsi le Web des publicités ennuyeuses, des logiciels malveillants et des trackers », lit le reste de cette annonce d’assistance nécessaire.
Le PDG de Microleaves, Alexandru Florea, a accordé une “interview” au site Web Irishtechnews.ie en 2018à travers lequel il a défini comment On-line[.]io (OIO) allait bouleverser les industries du marketing et de la sécurité Internet avec sa fourniture préliminaire de pièces de monnaie (ICO). L’interview de phrase est entre guillemets car les prochaines déclarations de Florea ont mérité une sévère réaction de la part de l’intervieweur.
“En ligne[.]io, développée à l’aide de la blockchain Ethereum, vise à perturber le marché de la publicité numérique évalué à plus de 1 000 milliards de dollars », s’est enthousiasmé Alexandru. “En jalonnant des jetons OIO et en mettant en œuvre notre solution, les opérateurs de sites Web seront en mesure d’accéder à un nouveau flux de revenus non invasif, qui capitalise sur le temps passé par les clients en ligne.”
“Dans le même temps, les utilisateurs Web qui misent des jetons OIO peuvent avoir la possibilité de monétiser le temps passé en ligne par eux-mêmes et leurs amis sur le World Wide Internet”, a-t-il poursuivi. “Le temps passé par les clients en ligne entraînera l’extraction de jetons ICE, qui à leur tour peuvent être utilisés dans le système de fournisseur de services dédié ou échangés sur des bourses et par conséquent modifiés en fiat.”
Traduction : Lorsque vous configurez notre programme logiciel proxy bot/CAPTCHA-solver/advert sur votre ordinateur portable – ou en tant que package d’exploit sur votre site Web – nous créerons des milliers et des milliers de publicités de piratage et vous pourriez être récompensé par des tas de bientôt- shitcoin sans valeur. Oh, et tous vos problèmes de sécurité disparaîtront également.
Il n’est pas clair combien de clients Web et de sites Web ont volontairement accepté d’être bombardés d’Internet[.]les publicités ennuyeuses d’io et les pirates de recherche – et avoir leur PC était un proxy ou un zombie résolvant CAPTCHA pour les autres. Cependant, c’est précisément ce qu’un certain nombre d’entreprises de sécurité ont mentionné lorsque les clients ont rencontré en ligne[.]io, qui fonctionnait en utilisant le cours Microsoft Home Windows intitulé “online-guardian.exe.”
Extrêmement, Crunchbase dit en ligne[.]io a levé 6 millions de dollars de financement pour une fourniture préliminaire de pièces en 2018, principalement sur la base des affirmations tout à fait ridicules faites ci-dessus. Depuis lors, néanmoins, en ligne[.]io semble être passé… hors ligne, pour de bon.
DES ENTREPRISES SUPER TECH?
Jusqu’à cette semaine, le site Web de Shifter.io a également révélé des détails sur sa base d’acheteurs et ses clients les plus actifs, ainsi que le montant que chaque consommateur a payé au cours de la durée de son abonnement. L’information signifie que Shifter a gagné plus de 11,7 millions de dollars en fonds directs, bien qu’il ne soit pas clair jusqu’où vont ces informations sur les frais dans le temps, ou à quel point elles sont complètes.
La majorité des clients de Shifter qui ont dépensé plus de 100 000 $ pour le service proxy ressemblent à des entreprises de marketing numérique, dont certaines sont situées aux États-Unis. Aucun des nombreux clients de Shifter approchés par KrebsOnSecurity n’a accepté d’être interviewé.
Gupta de Shifter a déclaré qu’il était dans l’entreprise depuis 3 ans, car le nouveau propriétaire a repris l’entreprise et a changé de nom pour Shifter.
“La société est disponible sur le marché depuis très longtemps, mais fonctionnait sous un modèle spécial appelé Microleaves, jusqu’à ce qu’une nouvelle possession et une nouvelle administration prennent le contrôle de la société a commencé un processus de réorganisation qui est toujours en cours”, a déclaré Gupta. « Nous sommes totalement clairs. Principalement [our customers] travailler dans le domaine d’intérêt du grattage des connaissances, c’est pourquoi nous avons vraiment développé des produits supplémentaires dans ce domaine et avons fait un énorme changement dans la direction des API et des options intégrées au cours de l’année.
Ah bien sûr, les mêmes API et options intégrées qui ont été découvertes sur le Web et qui ont divulgué toutes les données des acheteurs de Shifter.
Gupta a déclaré que l’unique père fondateur de Microleaves était un Indien, qui a ensuite proposé l’entreprise à Florea. Selon Gupta, l’entrepreneur roumain avait plusieurs points en tentant de diriger l’entreprise, puis l’a offerte il y a trois ans au propriétaire actuel – D’énormes entreprises technologiquesune entreprise d’équité personnelle basée principalement à Taiwan.
“Notre PDG est Wang Wei, il fait partie de l’entreprise depuis 3 ans », a déclaré Gupta. “M. Florea a quitté l’entreprise il y a deux ans après avoir mis fin à cette période de transition.
Google et d’autres moteurs de recherche semblent ne rien savoir de quelques grandes entreprises technologiques basées à Taiwan. Extrêmement, le responsable des relations publiques personnelles de Shifter a affirmé que lui aussi était aux heures sombres sur ce sujet.
“J’aimerais peut-être aider, mais je ne sais vraiment pas grand-chose sur l’entreprise mère”, a déclaré Gupta, reprenant principalement sa déclaration “tout à fait claire”. “Je sais qu’il s’agit d’un département du groupe plus large de sociétés de financement asiatiques ciblées sur l’équité non publique dans un certain nombre d’industries.”
Les logiciels publicitaires et proxy sont parfois regroupés avec des utilitaires de logiciels «gratuits» en ligne, ou avec des titres de logiciels répandus qui ont été piratés et fusionnés discrètement avec des installateurs liés à de nombreux programmes d’affiliation PPI.
Mais tout comme d’habitude, ces applications intrusives comprendront une sorte de découverte – même lorsqu’elles sont intégrées dans un ensemble de logiciels – que de nombreux utilisateurs n’apprennent tout simplement pas et cliquent sur “Suivant” pour continuer à installer quoi qu’il en soit. logiciel qu’ils cherchent à utiliser. Dans ces circonstances, le choix des paramètres « fondamentaux » ou « par défaut » lors de l’installation masque normalement toutes les invites de configuration par programme et suppose que vous respectez toutes les applications groupées installées. Il est toujours préférable d’opter pour le « mode de configuration personnalisé », qui peut vous fournir une meilleure idée de ce qui est réellement installé et vous permettre de gérer certaines fonctionnalités de la configuration.
Dans les deux cas, il est préférable de commencer par l’idée que si un logiciel ou un service en ligne est “gratuit”, il y a apparemment une partie concernée qui permet au fournisseur de ce service de monétiser votre activité. Comme KrebsOnSecurity célèbre à la conclusion de l’histoire de la semaine dernière sur un service proxy basé en Chine appelé 911la règle générale pour effectuer des transactions en ligne est que si vous n’êtes pas l’acheteur payant, alors vous et/ou vos gadgets êtes probablement le produit qui est offert aux autres.
Etude complémentaire sur les sociétés mandataires :
18 juillet 2022 : Une plongée profonde dans le service de proxy résidentiel ‘911’
28 juin 2022 : Le lien entre le proxy AWM et le botnet Glupteba
22 juin 2022 : Rencontrez les administrateurs du botnet proxy RSOCKS
1er septembre 2021 : VIP72, un réseau de proxy de logiciels malveillants vieux de 15 ans, s’éteint
19 août 2019 : L’essor des réseaux résidentiels “à l’épreuve des balles”
