Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
I proxy residenziali stanno diventando un problema sempre più grande per la sicurezza informatica. I dispositivi domestici infetti stanno aiutando i criminali a nascondere gli attacchi e aggirare la sicurezza aziendale.
I proxy residenziali, sono dei servizi che instradano il traffico Internet attraverso indirizzi IP di normali abitazioni compromessi. I criminali informatici li utilizzano perché gli permettono di far apparire le connessioni come legittime, aggirando in modo efficace controlli e sistemi di sicurezza.
In molti casi, il traffico passa attraverso dispositivi casalinghi connessi alla rete, come PC, smartphone o router e questo avviene all’insaputa dell’utente, che diventa parte di una rete utilizzata per nascondere attività malevole come phishing, frodi o diffusione di malware.
Milioni di dispositivi domestici in tutto il mondo, all’insaputa dei loro proprietari, aiutano i criminali informatici a nascondere gli attacchi, aggirare la sicurezza aziendale e violare gli account.
Ne avevamo già parlato in precedenza, ma ora gli specialisti di BitSight hanno scoperto che una parte significativa del cosiddetto mercato dei proxy residenziali è direttamente collegata a malware e botnet.
I proxy residenziali consentono di instradare il traffico attraverso normali computer domestici, smartphone, televisori e router. Per i siti web e i sistemi di sicurezza, questo traffico appare come proveniente da utenti reali di diversi paesi. Utilizzando questi servizi, i malintenzionati aggirano le restrizioni geografiche, nascondono i loro veri indirizzi ed evitano i blocchi.
Gli autori dello studio hanno monitorato l’infrastruttura dei servizi proxy per 55 giorni, da gennaio a marzo 2026. Durante questo periodo, hanno identificato oltre 53 milioni di nodi unici attraverso i quali transitava il traffico. In alcuni giorni, le piattaforme più grandi fornivano simultaneamente oltre due milioni di indirizzi attivi.
La scansione ha rivelato un quadro inquietante. Circa il 15% di tutti gli indirizzi rilevati erano contemporaneamente utilizzati da dispositivi infetti che eseguivano malware. Un ulteriore 13% circa dei sistemi conteneva software potenzialmente pericoloso. Tra le famiglie di malware rilevate figuravano Vo1d, Badbox , RootSTV/Pandoraspear, Gamarue e altre.
Gli esperti ritengono che la reale portata dell’infezione possa essere significativamente più elevata. Al momento dello studio sono stati monitorati solo i dispositivi che comunicavano con server controllati. I sistemi infetti inattivi e i dispositivi con traffico bloccato non sono stati inclusi nelle statistiche. Per alcune reti, gli autori stimano che la percentuale di nodi infetti potrebbe raggiungere il 50%.
Gli specialisti hanno prestato particolare attenzione all’ecosistema IPIDEA. La rete riuniva diversi noti marchi di servizi proxy, tra cui 922Proxy, LunaProxy e IP2World. L’infrastruttura utilizzava attivamente dispositivi infetti dai malware Vo1d, Badbox e RootSTV/Pandoraspear. Alla fine di gennaio 2026, Google e i suoi partner hanno condotto un’operazione su larga scala contro IPIDEA, ma il mercato si è ripreso rapidamente. Nel giro di poche settimane, l’attività della rete era tornata quasi ai livelli precedenti.
Gli autori dello studio osservano che i metodi di sicurezza tradizionali stanno gradualmente perdendo efficacia. In passato, le aziende potevano bloccare gli indirizzi sospetti in base alla reputazione, ma con milioni di indirizzi IP domestici in continuo cambiamento, questo approccio non è più efficace. Gli aggressori utilizzano un indirizzo solo per pochi minuti o addirittura per un singolo tentativo di accesso, dopodiché passano a un altro host.
Il problema non riguarda solo le vittime degli attacchi. Se il computer di un dipendente infetto inizia a funzionare come proxy, l’azienda diventa di fatto una fonte di traffico dannoso. Le reti aziendali, le connessioni remote e la reputazione dell’organizzazione sono a rischio.
Gli autori consigliano alle aziende di concentrarsi maggiormente sull’analisi del comportamento del traffico, non solo sul controllo degli indirizzi IP. Ritengono che i sistemi di sicurezza debbano monitorare modelli di attività sospette, rapidi cambi di indirizzo e attività atipiche relative a tentativi di accesso, distribuzione di spam e attacchi automatizzati.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]