Cyberattackers riktar nu in sitt offrets internetanslutning för att tyst generera olagliga intäkter efter en infektion med skadlig kod.
På tisdagen sa forskare från Cisco Talos att “proxyware” uppmärksammas i cyberbrottsekosystemet och som ett resultat blir det vridit för olagliga ändamål.
Proxyware, även känt som internetdelningsapplikationer, är legitima tjänster som tillåter användare att dela ut en del av sin internetanslutning för andra enheter, och kan även inkludera brandväggar och antivirusprogram.
Andra appar gör det möjligt för användare att “vara värd” för en hotspot -internetanslutning, vilket ger dem pengar varje gång en användare ansluter till den.
Det är detta format som tillhandahålls av legitima tjänster inklusive Honeygain, PacketStream och Nanowire, som används för att generera passiva intäkter för cyberattacker och malwareutvecklare.
Enligt forskarna missbrukas proxyprogram på samma sätt som legitim kryptovaluta -gruvprogramvara: tyst installerad – antingen som en sidokomponent eller som en viktig nyttolast – och med ansträngningar för att försöka hindra ett offer från att märka dess närvaro, till exempel genom kontroll av resursanvändning och skymning.
I fall som dokumenterats av Cisco Talos ingår proxyprogram i flerstegsattacker. En attackkedja börjar med ett legitimt mjukvaruprogram tillsammans med ett trojaniserat installationsprogram som innehåller skadlig kod.
När programvaran är installerad körs även skadlig programvara. En kampanj har använt ett legitimt, signerat Honeygain -paket som patched för att även släppa separata, skadliga filer som innehåller en XMRig -kryptovaluta -gruvarbetare och för att omdirigera offret till en målsida kopplad till Honeygain -hänvisningskoder.
När offret väl har registrerat sig för ett konto, tjänar denna remiss intäkter till en angripare – allt medan en kryptovaluta -gruvarbetare också stjäl datorresurser.
Detta är dock inte den enda metoden som används för att generera kontanter. I en separat kampanj identifierades en skadlig familjefamilj som försöker installera Honeygain på ett offrens dator och registrerar programvaran under en angripares konto, så att eventuella intäkter skickas till bedragaren.
“Även om Honeygain begränsar antalet enheter som fungerar under ett enda konto, finns det inget som hindrar en angripare från att registrera flera Honeygain -konton för att skala deras funktion baserat på antalet infekterade system under deras kontroll,” säger forskare.
En annan variant utnyttjade flera vägar och förenade inte bara proxy -programvara utan också en kryptovaluta -gruvarbetare och informationsstjälare för stöld av inloggningsuppgifter och annan värdefull data.
“Det här är en ny trend, men potentialen att växa är enorm”, säger Cisco Talos. “Vi ser redan allvarliga övergrepp från hotaktörer som kommer att tjäna betydande pengar på dessa attacker. Dessa plattformar innebär också nya utmaningar för forskare, eftersom det inte finns något sätt att identifiera en koppling genom den här typen av nätverk – ursprunget IP blir ännu mindre meningsfull i en undersökning. ”
Tidigare och relaterad täckning
Fujitsu säger att stulen data säljs på mörk webben “relaterad till kunder”
Föräldrar till tonåringar som stal 1 miljon dollar i Bitcoin ställda av påstådda offer
Google: Så här kommer vår investering på 10 miljarder dollar att öka USA: s cybersäkerhet
Har du ett tips? Kontakta oss säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Security TV Data Management CXO Data Centers 