I cyberattaccanti ora prendono di mira la connessione Internet della loro vittima per generare silenziosamente entrate illecite a seguito di un'infezione da malware.
Martedì, i ricercatori di Cisco Talos hanno affermato che il “proxyware” si sta facendo notare nell'ecosistema del crimine informatico e, di conseguenza, viene distorto per scopi illegali.
I proxyware, noti anche come applicazioni di condivisione di Internet, sono servizi legittimi che consentono agli utenti di suddividere parte della loro connessione Internet per altri dispositivi e possono includere anche firewall e programmi antivirus.
Altre app consentiranno agli utenti di “ospitare” una connessione Internet hotspot, fornendo loro denaro ogni volta che un utente si connette ad essa.
È questo formato, fornito da servizi legittimi tra cui Honeygain, PacketStream e Nanowire, che viene utilizzato per generare entrate passive per conto di hacker e sviluppatori di malware.
Secondo i ricercatori, il proxyware viene abusato allo stesso modo del legittimo software di mining di criptovaluta: installato silenziosamente – sia come componente secondario che come payload principale – e con sforzi compiuti per cercare di impedire a una vittima di notare la sua presenza, ad esempio attraverso il controllo e l'offuscamento dell'uso delle risorse.
Nei casi documentati da Cisco Talos, il proxyware è incluso negli attacchi multifase. Una catena di attacchi inizia con un programma software legittimo in bundle con un programma di installazione Trojan contenente codice dannoso.
Quando il software è installato, viene eseguito anche il malware. Una campagna ha utilizzato un pacchetto Honeygain legittimo e firmato che è stato patchato per eliminare anche file dannosi separati contenenti un miner di criptovaluta XMRig e reindirizzare la vittima a una pagina di destinazione collegata ai codici di riferimento Honeygain.
Una volta che la vittima registra un account, questo referral genera entrate per un utente malintenzionato, mentre anche un miner di criptovaluta sta rubando risorse del computer.
Tuttavia, questo non è l'unico metodo utilizzato per generare denaro. In una campagna separata, è stata identificata una famiglia di malware che tenta di installare Honeygain sul PC di una vittima e registra il software nell'account di un aggressore, quindi tutti i guadagni vengono inviati al truffatore.
“Mentre Honeygain limita il numero di dispositivi che operano con un singolo account, non c'è nulla che impedisca a un utente malintenzionato di registrare più account Honeygain per ridimensionare le proprie operazioni in base al numero di sistemi infetti sotto il loro controllo”, il dicono i ricercatori.
Un'altra variante ha sfruttato più strade, raggruppando non solo software proxyware, ma anche un minatore di criptovalute e un ladro di informazioni per il furto di credenziali e altri dati preziosi.
“Si tratta di una tendenza recente, ma il potenziale di crescita è enorme”, afferma Cisco Talos. “Stiamo già assistendo a gravi abusi da parte degli attori delle minacce che stanno per ricavare una notevole quantità di denaro da questi attacchi. Queste piattaforme pongono anche nuove sfide per i ricercatori, dal momento che non c'è modo di identificare una connessione attraverso questo tipo di reti – l'origine La PI diventa ancora meno significativa in un'indagine”.
Copertura precedente e correlata
Fujitsu afferma che i dati rubati venduti sul dark web sono “relativi ai clienti”
I genitori di adolescenti che hanno rubato $ 1 milione in Bitcoin citati in giudizio dalla presunta vittima
Google: Ecco come il nostro investimento di 10 miliardi di dollari aumenterà la sicurezza informatica negli Stati Uniti
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Security TV Data Management CXO Data Center 