Sistema de hospedagem à prova de balas russo alvo dos hackers para espalhar malware
- Trustwave encontra vários servidores de malware C2 hospedados no Proton66
- Ransomware está hospedado lá também
- Algumas páginas de phishing direcionadas aos usuários do Android se originaram do Proton66
O Proton66, um provedor de serviços de hospedagem à prova de balas russo, está sendo usado para espalhar malware, ransomware, ataques de Mount Phishing e mais, os especialistas alertaram. Isso está de acordo com
Pesquisadores da Trustwave alertaram que a atividade maliciosa aumentou nas últimas semanas, afirmando como: “A partir de 8 de janeiro de 2025, os Spiderlabs observaram um aumento na varredura em massa, forçando forçantes de credenciais e tentativas de exploração originárias das organizações de direcionamento do Proton66 ASN em todo o mundo.
“Embora a atividade maliciosa tenha sido vista no passado, o pico e o declínio repentino observados no final de fevereiro de 2025 foram notáveis, e os endereços IP ofensivos foram investigados”.
Entrando em contato
Quem está por trás dessas atividades está procurando explorar uma série de vulnerabilidades, incluindo uma falha de desvio de autenticação no PAN-OS das redes Palo Alto (CVE-2025-0108 (, uma falha insuficiente de validação de entrada no comando NPELATION (NPM), com o componente de Mitel AnMaLP (CVEATILATILATENELAGEM (NPM) do Mitel a Mitel Mitoll (CVEALEATION-4-4-4-4171717171713), com o componente de Mitel a Mitel (CVEAT-204-4-4-41771713) (CVE-2024-10914) e um desvio de autenticação nos Fortiet da Fortinet (CVE-2024-55591 e CVE-2025-24472).
As duas falhas do Fortios foram anteriormente exploradas pelo corretor de acesso inicial Mora_001, que também foi visto lançando uma nova variante de ransomware chamada Superblack.
A mesma publicação também disse que várias famílias de malware hospedaram seus servidores C2 no Proton66, incluindo GootLoader e Spyote.
Além disso, a Trustwave disse que Xworm, StreLavetaler e um ransomware chamado Weaxor estavam sendo distribuídos através do Proton66.
Por fim, os bandidos estão supostamente usando sites WordPress comprometidos relacionados a um endereço IP vinculado por Proton66 para redirecionar usuários do Android para páginas de phishing que falsificam listagens de aplicativos do Google Play e tentam induzir os usuários a baixar malware.
Para mitigar o risco contra as ameaças vinculadas ao Proton66, os usuários devem bloquear todos os guardas florestais de roteamento entre domínios (CIDR) associados à empresa e às tecnologias Chang Way. Este último é um fornecedor de Hong Kong que está “provavelmente” relacionado ao Proton66.
A chamada hospedagem “à prova de balas” é um tipo de serviço de hospedagem que é anunciado como imune a quedas e ações legais, mas houve exemplos no passado quando a hospedagem à prova de balas acaba cedendo no final.
Neste momento, o fato de o Proton66 ser um serviço russo provavelmente o torna um pouco à prova de balas para os usuários ocidentais. No entanto, a política muda como o vento, e o que a Rússia protegeu ontem poderá ser negociada amanhã.
Via The Hacker News
