Av Charlie Osborne for Zero Day | 31. august 2021 – 12:00 GMT (13:00 BST) | Tema: Sikkerhet
Nettangrep angriper nå offerets internettforbindelse for å stille ulovlige inntekter etter en malware -infeksjon.
På tirsdag sa forskere fra Cisco Talos at “proxyware” blir lagt merke til i cyberkriminalitetsøkosystemet, og som et resultat blir det vridd for ulovlige formål.
Proxyware, også kjent som internettdelingsprogrammer, er legitime tjenester som lar brukere dele deler av internettforbindelsen for andre enheter, og kan også inkludere brannmurer og antivirusprogrammer.
Andre apper lar brukerne “hoste” en internettforbindelse med hotspot og gi dem kontanter hver gang en bruker kobler seg til den.
Det er dette formatet, levert av legitime tjenester inkludert Honeygain, PacketStream og Nanowire, som brukes til å generere passiv inntekt på vegne av cyberangrep og malwareutviklere.
Ifølge forskerne blir proxyware misbrukt på samme måte som legitim kryptovaluta -gruveprogramvare: stille installert – enten som en sidekomponent eller som en hovednyttelast – og med forsøk på å prøve å stoppe et offer fra å legge merke til dets tilstedeværelse, for eksempel gjennom kontroll av ressursbruk og tilsløring.
I saker som er dokumentert av Cisco Talos, er proxyware inkludert i flertrinnsangrep. En angrepskjede begynner med et legitimt program som følger med et trojanisert installasjonsprogram som inneholder skadelig kode.
Når programvaren er installert, utføres også skadelig programvare. En kampanje har benyttet en legitim, signert Honeygain -pakke som ble lappet for også å slippe separate, ondsinnede filer som inneholder en XMRig kryptovaluta -gruvearbeider og omdirigere offeret til en destinasjonsside koblet til Honeygain -henvisningskoder.
Når offeret registrerer seg for en konto, tjener denne henvisningen inntekter for en angriper – alt mens en kryptovaluta -gruvearbeider også stjeler dataressurser.
Dette er imidlertid ikke den eneste metoden som brukes til å generere kontanter. I en egen kampanje ble en skadelig familie identifisert som prøver å installere Honeygain på et offer sin PC og registrerer programvaren under en angriperes konto, og dermed blir eventuelle inntekter sendt til svindleren.
“Mens Honeygain begrenser antall enheter som opererer under en enkelt konto, er det ingenting som hindrer en angriper i å registrere flere Honeygain -kontoer for å skalere driften basert på antall infiserte systemer under deres kontroll,” sa sier forskere.
En annen variant utnyttet flere veier, og bundlet ikke bare proxy -programvare, men også en kryptovaluta -gruvearbeider og informasjonstjuver for tyveri av legitimasjon og andre verdifulle data.
“Dette er en nylig trend, men potensialet for å vokse er enormt,” sier Cisco Talos. “Vi ser allerede alvorlige overgrep fra trusselaktører som tjener store penger på disse angrepene. Disse plattformene utgjør også nye utfordringer for forskere, siden det ikke er noen måte å identifisere en forbindelse gjennom slike nettverk – opprinnelsen IP blir enda mindre meningsfull i en undersøkelse. ”
Tidligere og relatert dekning
Fujitsu sier at stjålet data selges på mørkt web 'relatert til kunders'
Foreldre til tenåringer som stjal 1 million dollar i Bitcoin saksøkt av påstått offer
Google: Slik vil investeringen vår på 10 milliarder dollar øke amerikansk cybersikkerhet
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 