Open in app

Sign in

Write

Sign in

Botnets e backdoors: O cavalo de troia da VPN gratuita

Nym - Português
8 min readJul 6, 2024

--

VPNs gratuitas usadas em uma enorme botnet que explorou milhões de dispositivos

Idiomas: English // Türkçe // 日本 // Française // українська мова // Русский

Imagine ser acusado de um crime cibernético. Você não sabe muito sobre a Internet e menos ainda sobre crimes. E, de repente, uma montanha de perícia digital e segurança cibernética se abate sobre você. A polícia confisca seus dispositivos e vasculha cada centímetro de sua vida digital. Seu computador e seu endereço IP exclusivo, as autoridades finalmente lhe dizem, são responsáveis por fraudes na faixa de cinco dígitos. Ou talvez digam que você fez algo ainda mais incompreensível. De qualquer forma, você terá que navegar por um inferno jurídico para tentar limpar seu nome de um crime que você nem mesmo entende. Esse pesadelo pode ser muito real para muitos usuários da Internet.

Há apenas algumas semanas, uma operação internacional liderada pelo Departamento de Justiça dos EUA (DoJ) derrubou uma extensa botnet global chamada 911 S5. Ao longo de uma década, o que o DoJ chama de “provavelmente o maior botnet do mundo” havia se infiltrado em 19 milhões de endereços IP exclusivos em quase 200 países. O acesso a dispositivos comprometidos era então vendido a criminosos para cometer ataques cibernéticos, roubos, fraudes e para ocultar atividades ilícitas por trás dos IPs de usuários desavisados.

Um ponto importante nessa história é que o botnet usava backdoors projetados em seis softwares gratuitos de VPN (Virtual Private Network) que, além de serem VPNs funcionais, também eram malware. Após a prisão do suposto botmaster, o Federal Bureau of Investigations (FBI) divulgou um anúncio de serviço público (PSA) alertando os usuários a desinstalar as VPNs e a verificar seus sistemas em busca de arquivos de malware que abriram as portas de seus sistemas para a exploração criminosa.

Nas primeiras parcelas do Nym Dispatch, vamos nos concentrar nos riscos do uso de serviços de VPN “gratuitos”. Como investigaremos ao longo da série, muitas VPNs gratuitas podem representar ameaças reais à privacidade e à segurança do usuário e quase sempre contêm práticas invasivas, como publicidade direcionada. Isso é totalmente o oposto do principal motivo pelo qual os usuários recorrem a uma VPN: privacidade genuína, segurança e anonimato on-line. O botnet 911 S5 deveria ser um sinal de alerta, mas o problema é muito mais profundo.

ProxyGate 2024: Um cavalo de troia de vários bilhões de dólares

Um botnet é uma rede de dispositivos comprometidos que podem ser controlados remotamente por uma entidade central. Uma vez infiltrados, os dispositivos podem ser usados para realizar atividades maliciosas nas costas de seus operadores, como ataques DDoS, distribuição de spam, fraude ou disseminação de material de exploração, como pornografia infantil.

Com a rede proxy residencial 911 S5 instalada e alimentada por 150 servidores em todo o mundo, o botmaster vendeu acesso a dezenas de milhões de endereços IP por meio de um mercado virtual. Os compradores usaram esses IPs para realizar uma ampla gama de atividades ilícitas, principalmente para fraudar o programa de ajuda pandêmica do governo dos EUA em bilhões de dólares por meio de reivindicações falsas de candidatos.

Em primeiro lugar, como foi possível uma operação dessa escala? De acordo com a ordem judicial do DoJ de 10 de maio de 2024, o suspeito instalou o acesso backdoor nos dispositivos dos usuários principalmente oferecendo seu próprio “software de VPN gratuito on-line” e ocultando “as propriedades maliciosas dos usuários que intencionalmente baixaram o que acreditavam ser um programa de VPN legítimo”. O malware também foi disseminado por meio de software de torrent e “serviços de pagamento por instalação”, nos quais os distribuidores digitais são pagos sempre que um programa com malware é instalado com sucesso em um dispositivo do usuário.

O mercado 911 S5 foi supostamente derrubado pelos investigadores em 2022 antes de reaparecer como “Cloudrouter” em 2023. No entanto, o malware continuou a operar nos sistemas dos usuários sem qualquer outra intervenção até que a apropriadamente intitulada “Operação Tunnel Rat” do FBI finalmente derrubou os domínios VPN e divulgou publicamente os nomes dos programas VPN.

No momento de sua prisão, em 24 de maio de 2024, o suposto botmaster, de acordo com estimativas do governo, havia acumulado sozinho US$ 99 milhões em lucros com a venda de acesso a IP. Um valor surpreendente de US$ 5,9 bilhões foi fraudado dos programas de auxílio-desemprego e pandemia do governo dos EUA. As perdas, a dor e a confusão sofridas por milhões de pessoas inadvertidas em todo o mundo ainda não foram conhecidas.

O backdoor da VPN gratuita

Seis serviços de VPN e proxy são supostamente responsáveis por fornecer backdoors para infecções por malware no botnet 911 S5:

  • MaskVPN
  • DewVPN
  • PaladinVPN
  • ProxyGate
  • ShieldVPN
  • ShineVPN

O que sabemos exatamente sobre eles? Como esperado, surpreendentemente pouco. A acusação deixa claro que esses serviços de VPN foram projetados especificamente para fins de construção da botnet. O malware permaneceu ativo no plano de fundo dos sistemas dos usuários como arquivos de operação .exe aparentemente inócuos, como “MaskVPN.exe”, que os usuários provavelmente presumiram estar protegendo-os. A falta de informações sobre essas VPNs baixadas por milhões de usuários é um sinal revelador da falta de regulamentação e de escrutínio do setor de VPNs gratuitas.

Os serviços de VPN acima que mantinham domínios reais foram apreendidos pelo FBI, incluindo PaladinVPN.com, DewVPN.com e ShineVPN.com. O domínio fictício do MaskVPN permanece ativo como maskvpns.com, prometendo que vocês, os sortudos usuários, podem “proteger sua privacidade com segurança e à prova de vazamentos [sic]”.

Até o momento da publicação, muitos aplicativos com os nomes dos serviços acima ainda estão disponíveis para download no Google Play, na Apple e em outras lojas de aplicativos, como ShieldVPN, ShineVPN e MaskVPN, sendo que alguns, como o Shine VPN, listam mais de 500 mil downloads no Google Play. No entanto, a Nym não confirmou se esses aplicativos correspondem, de fato, aos listados na ordem judicial ou a outros provedores homônimos. O servidor proxy ProxyGate, que há muito tempo foi sinalizado como atividade maliciosa por empresas e fóruns de relatórios de segurança, também parece ainda estar disponível para download como ProxyGate VPN, embora não esteja claro se esse aplicativo corresponde ao botnet 911 S5.

Teremos que esperar por mais detalhes sobre as operações desses serviços de VPN específicos, quais plataformas os distribuíram e exatamente quantos usuários os baixaram ao longo dos anos. Mas há perguntas cruciais que devemos fazer nesse meio tempo:

  • Como as funções de malware dessas VPNs passaram despercebidas por tantos anos?
  • Em que outras funções clandestinas estão envolvidos outros freewares de VPN no mercado atualmente?
  • Quantas violações de privacidade e riscos de segurança estamos dispostos a aceitar para economizar alguns dólares todos os meses, quando poderíamos estar investindo em uma ferramenta de privacidade genuína?

Riscos das VPNs gratuitas

Estima-se que mais de um quinto das pessoas em todo o mundo esteja usando VPNs, e que metade esteja usando uma versão gratuita em vez de uma paga. O que isso significa para a privacidade de 600 milhões de usuários de VPN em todo o mundo?

Em princípio, não há nada de errado com um serviço “gratuito”. E há, de fato, provedores de serviços de VPN confiáveis que oferecem VPNs que preservam a privacidade sem nenhum custo e como um bem público. Mas os modelos de negócios predominantes para as centenas de VPNs gratuitas disponíveis para download são tudo menos altruístas: se não há receita de assinaturas de usuários, então eles certamente ganham dinheiro de outras maneiras.

Como veremos na série contínua da Nym, essa receita oculta vem de várias táticas: publicidade direcionada e inserida, venda de dados de usuários a corretores e até mesmo permissão para que terceiros instalem cookies nos navegadores dos usuários para rastrear suas atividades. Em resumo, as VPNs gratuitas comercializam privacidade, mas lucram com a vigilância. E o alvo dessa vigilância não são os atos ilícitos, mas os microdetalhes de nossa vida pessoal.

As VPNs gratuitas por trás do botnet 911 S3, no entanto, mostram um risco de segurança muito mais extremo: o sequestro de nossos dispositivos e identidades por um submundo criminoso. Obviamente, esses serviços de VPN mal-intencionados eram apenas algumas das centenas de VPNs “gratuitas” disponíveis para download pelos usuários, e provavelmente são alguns dos piores agentes do mercado. Mas o potencial de risco que ficou claro nesse caso, com perdas financeiras na casa dos bilhões de dólares para usuários e instituições, precisa ser levado a sério.

Nada é de graça

Praticamente todas as VPNs se comercializam como uma ferramenta para proteger a privacidade do usuário em virtude do fato de mascarar nossos verdadeiros endereços IP. Muitos usuários podem achar que isso é suficiente para suas necessidades. Mas eles também podem não estar cientes da extensão em que os metadados de suas atividades pessoais on-line estão sendo coletados, comprados e vendidos em massa. Qual é a utilidade da cobertura do endereço IP quando todo o nosso histórico de navegação pode ser reconstruído por algoritmos alimentados por IA?

O combate a essas práticas de coleta e exploração de dados não é simples, e é razoável que a tecnologia avançada de VPN projetada especificamente para proteger sua privacidade exija algum grau de investimento do usuário. Afinal, se alguém se oferecesse para instalar um sistema de segurança de câmera gratuito em sua casa, você receberia os técnicos sem pensar duas vezes?

Quando qualquer software é oferecido gratuitamente, é provável que haja custos ocultos. Esses custos podem ser tão simples quanto um serviço de VPN mais lento ou mais limitado. Mas geralmente os custos não são tão palatáveis, como a publicidade injetada em sua experiência de navegação, que é personalizada por meio de uma análise algorítmica de todos os seus hábitos on-line. Pior ainda é o fato de que esses mesmos registros de metadados estão sendo vendidos regularmente para um vasto mercado clandestino ávido por endereços IP e de e-mail, registros de tráfego e padrões de comportamento individuais. E agora, existe a possibilidade real de que uma VPN gratuita tenha transformado seu computador em um proxy zumbi para pornografia infantil ou fraudadores.

A privacidade on-line genuína deveria ser um direito fundamental, mas a realidade é que se trata de uma batalha contínua. Conquistá-la para todos globalmente significa primeiro estar atento a ameaças reais, como o 911 S5, e também escolher as ferramentas adequadas para nos defendermos. As VPNs gratuitas não são essas ferramentas.

Saiba mais sobre as ameaças atuais à privacidade seguindo os despachos da Nym!

Nym Dispatch
Este é o primeiro artigo da série Nym Dispatch, que se aprofunda no ecossistema de privacidade on-line e social. Fique atento para saber mais sobre os riscos e as táticas de ganhar dinheiro da economia de vigilância on-line, começando pelo mercado de VPNs gratuitas. A série abordará as práticas de registro das VPNs gratuitas; seus contratos de consentimento deliberadamente vagos; como, por que e para quem elas vendem nossos dados; e suas práticas invasivas de publicidade.

--

--

Nym - Português

Written by Nym - Português

113 Followers

| Blog traduzido do oficial: https://medium.com/@nymtech | Siga nosso Telegram em Português: https://t.me/nymportuguese

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams