Мы вскрываем схемы, пока их прячут
Image

Мы вскрываем схемы, пока их прячут

Подпишись на нас и смотри, как ломают системы и как это чинят, пока остальные делают вид, что все ок.

Ваш компьютер ведет двойную жизнь. Как домашние IP становятся инструментом в руках хакеров

резидентные прокси Infatica PT Network Attack Discovery Spur hCaptcha Positive Technologies
Ваш компьютер ведет двойную жизнь. Как домашние IP становятся инструментом в руках хакеров
резидентные прокси Infatica PT Network Attack Discovery Spur hCaptcha Positive Technologies

Злоумышленники массово переходят с дата-центров на домашние сети.

image

Владельцы сетей резидентных прокси используют IP-адреса, которые интернет-провайдеры выдают своим абонентам, и перепродают доступ к ним. Для систем защиты такой трафик выглядит как активность домашних устройств и вызывает меньше подозрений, чем запросы с IP-адресов дата-центров. Технологию применяют как в законных задачах, например для тестирования рекламы, так и в преступных сценариях, включая распространение вредоносного ПО, фишинг, спам-рассылки и DDoS-атаки.

По данным Positive Technologies, в результатах пилотных внедрений системы поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD) в 2024–2025 годах следы активности резидентных прокси обнаружили в 46% исследуемых компаний. В основном вредоносные прокси фиксировались на личных устройствах сотрудников. Чаще всего в трафике выявлялся вредонос Infatica, который превращает компьютер в узел прокси-сети.

Рост резидентных прокси в инструментарии злоумышленников отмечают и зарубежные компании. С августа по октябрь 2025 года сервис Spur, который отслеживает прокси-сети, обнаружил 250 млн новых IP-адресов, указывая на резкий рост числа доступных прокси-серверов у большинства известных провайдеров. По оценке платформы Hcaptcha, от 30 до 90% запросов через резидентные прокси приходится на хакерские атаки. Согласно полуторагодовому исследованию Nokia, порядка 100 млн устройств выступают скрытными узлами прокси-сетей.

Злоумышленники используют резидентные прокси не только для атак и рассылок, но и для обхода антифрод-систем и геоблокировки. Прокси-агенты часто попадают на устройства пользователей вместе с бесплатными программами и затем незаметно запускают фоновую службу, которая перенаправляет чужой трафик. В результате владелец зараженного устройства может участвовать в спам-рассылках и других активностях, не подозревая об этом, при этом растет нагрузка на устройство и снижается скорость интернета. Дополнительно провайдер может предъявить претензии владельцу IP-адреса из-за подозрительной активности. Как отмечает Кирилл Шипулин, руководитель экспертизы продукта PT NAD в Positive Technologies, компании, которые владеют сетями резидентных прокси, стараются выглядеть легитимными и заявляют, что пользователи добровольно соглашаются устанавливать их ПО, однако чаще всего это не так.

Поскольку резидентные прокси обходят периметровую защиту, ключевой мерой для обеспечения кибербезопасности становится мониторинг и анализ трафика внутри сети. Продукты класса NTA/NDR позволяют обнаруживать аномальную активность, характерную для прокси-агентов, даже если она замаскирована под легитимные действия пользователя. В качестве базовых мер безопасности в Positive Technologies также рекомендуют использовать антивирусы, системы предотвращения массовых и сложных целенаправленных атак для защиты конечных точек, а также песочницы для анализа подозрительных файлов и предотвращения проникновения вредоносного ПО.