Kyberzločinci zneužívajú služby zdieľania internetu na speňaženie malvérových kampaní

Aktéri hrozieb využívajú rastúcu popularitu proxyvérových platforiem, ako sú Honeygain a Nanowire, aby speňažili svoje vlastné malvérové ​​kampane, čo opäť ilustruje, ako útočníci rýchlo menia účel a využívajú legitímne platformy vo svoj prospech.

„Malvér v súčasnosti využíva tieto platformy na speňaženie internetovej šírky pásma obetí, podobne ako sa škodlivá ťažba kryptomien pokúša speňažiť cykly CPU infikovaných systémov,“ uviedli vedci z Cisco Talos v utorkovej analýze. “V mnohých prípadoch sú tieto aplikácie súčasťou viacstupňových malvérových útokov s viacnásobným zaťažením, ktoré poskytujú protivníkom viacero spôsobov speňaženia.”

Proxyware, tiež nazývaný aplikácie na zdieľanie internetu, sú legitímne služby, ktoré používateľom umožňujú vyčleniť určité percento zo šírky internetového pásma pre iné zariadenia, často za poplatok, prostredníctvom klientskej aplikácie ponúkanej poskytovateľom, ktorá umožňuje iným zákazníkom prístup na internet pomocou internetové pripojenia ponúkané uzlami v sieti. Pre spotrebiteľov sú takéto služby „inzerované ako prostriedok na obídenie geolokačných kontrol na streamingových alebo herných platformách a zároveň vytvárajú určitý príjem pre používateľa, ktorý ponúka svoju šírku pásma,“ vysvetlili vedci.

Nezákonné používanie proxyvéru však tiež prináša množstvo rizík v tom, že by mohli dovoliť aktérom hrozieb, aby zahmlievali zdroj svojich útokov, čím by im nielen dali možnosť vykonávať škodlivé akcie tým, že by vyzerali, akoby pochádzali z legitímneho bývania. alebo podnikové siete, ale tiež robia neefektívnu konvenčnú sieťovú obranu, ktorá sa spolieha na zoznamy blokovaných IP adries.

“Rovnaké mechanizmy, ktoré sa v súčasnosti používajú na monitorovanie a sledovanie výstupných uzlov Tor, ‘anonymných’ proxy serverov a iných bežných techník zahmlievania premávky, v súčasnosti neexistujú na sledovanie uzlov v rámci týchto proxywarových sietí,” uviedli vedci.

To nie je všetko. Výskumníci identifikovali niekoľko techník, ktoré si osvojili zlí herci, vrátane trojanizovaných inštalátorov proxyvéru, ktoré umožňujú tajnú distribúciu zlodejov informácií a trójskych koní so vzdialeným prístupom (RAT) bez vedomia obetí. V jednom prípade, ktorý spozorovala spoločnosť Cisco Talos, sa zistilo, že útočníci používajú aplikácie proxyware na speňaženie šírky pásma siete obetí na generovanie výnosov, ako aj na zneužívanie zdrojov CPU napadnutého počítača na ťažbu kryptomien.

Ďalší prípad sa týkal viacstupňovej kampane proti malvéru, ktorá vyvrcholila nasadením okrádača informácií, ťažby kryptomien, ako aj proxyvérového softvéru, čím sa zdôraznili „rôzne prístupy dostupné pre protivníkov“, ktorí teraz môžu ísť nad rámec kryptojackingu a tiež plieniť. cenné údaje a speňažiť úspešné infekcie inými spôsobmi.

Čo je ešte znepokojujúcejšie, výskumníci odhalili malvér, ktorý bol použitý na tichú inštaláciu Honeygainu na infikované systémy a registrovali klienta na súperovom účte Honeygain, aby profitovali zo šírky internetového pásma obete. To tiež znamená, že útočník si môže zaregistrovať viacero účtov Honeygain, aby škáloval svoju činnosť na základe počtu infikovaných systémov, ktoré má pod kontrolou.

„Pre organizácie predstavujú tieto platformy dva zásadné problémy: zneužívanie ich zdrojov, prípadne ich blokovanie kvôli činnostiam, ktoré ani nekontrolujú, a zvyšuje to útočnú plochu organizácií, čo potenciálne vytvára počiatočný vektor útoku priamo na koncovom bode,“ výskumníci dospeli k záveru: “Vzhľadom na rôzne riziká spojené s týmito platformami sa odporúča, aby organizácie zvážili zákaz používania týchto aplikácií na podnikových aktívach.”