Cyberaanvallen richten zich nu op de internetverbinding van hun slachtoffer om stilletjes illegale inkomsten te genereren na een malware-infectie.
Dinsdag zeiden onderzoekers van Cisco Talos dat “proxyware” wordt opgemerkt in het ecosysteem van cybercriminaliteit en als gevolg daarvan wordt verdraaid voor illegale doeleinden.
Proxyware, ook bekend als toepassingen voor het delen van internet, zijn legitieme services waarmee gebruikers een deel van hun internetverbinding voor andere apparaten kunnen delen, en kunnen ook firewalls en antivirusprogramma's bevatten.
Met andere apps kunnen gebruikers een hotspot-internetverbinding 'hosten', waardoor ze elke keer dat een gebruiker er verbinding mee maakt, contant geld krijgen.
Dit formaat, geleverd door legitieme services zoals Honeygain, PacketStream en Nanowire, wordt gebruikt om passieve inkomsten te genereren namens cyberaanvallers en malware-ontwikkelaars.
Volgens de onderzoekers wordt proxyware op dezelfde manier misbruikt als legitieme cryptocurrency-miningsoftware: stilletjes geïnstalleerd – hetzij als een nevencomponent of als een hoofdlading – en met inspanningen om te voorkomen dat een slachtoffer zijn aanwezigheid opmerkt, zoals door middel van controle over het gebruik van hulpbronnen en verduistering.
In gevallen die door Cisco Talos zijn gedocumenteerd, maakt proxyware deel uit van aanvallen in meerdere fasen. Een aanvalsketen begint met een legitiem softwareprogramma dat is gebundeld met een Trojaans installatieprogramma dat schadelijke code bevat.
Wanneer de software is geïnstalleerd, wordt de malware ook uitgevoerd. Eén campagne heeft gebruik gemaakt van een legitiem, ondertekend Honeygain-pakket dat is gepatcht om ook afzonderlijke, kwaadaardige bestanden met een XMRig-cryptocurrency-miner te laten vallen en om het slachtoffer om te leiden naar een bestemmingspagina die is gekoppeld aan Honeygain-verwijzingscodes.
Zodra het slachtoffer zich aanmeldt voor een account, verdient deze verwijzing inkomsten voor een aanvaller – terwijl een cryptocurrency-mijnwerker ook computerbronnen steelt.
Dit is echter niet de enige methode die wordt gebruikt om geld te genereren. In een afzonderlijke campagne werd een malwarefamilie geïdentificeerd die Honeygain probeert te installeren op de pc van een slachtoffer en de software registreert onder het account van een aanvaller, zodat alle inkomsten naar de fraudeur worden gestuurd.
“Hoewel Honeygain het aantal apparaten beperkt dat onder één account werkt, is er niets dat een aanvaller ervan weerhoudt om meerdere Honeygain-accounts te registreren om hun werking te schalen op basis van het aantal geïnfecteerde systemen onder hun controle,” zeggen onderzoekers.
Een andere variant maakte gebruik van meerdere wegen, waarbij niet alleen proxyware-software werd gebundeld, maar ook een cryptocurrency-miner en informatie-stealer voor de diefstal van inloggegevens en andere waardevolle gegevens.
“Dit is een recente trend, maar het groeipotentieel is enorm”, zegt Cisco Talos. “We zien nu al ernstig misbruik door dreigingsactoren die een aanzienlijk bedrag aan deze aanvallen kunnen verdienen. Deze platforms vormen ook nieuwe uitdagingen voor onderzoekers, omdat er geen manier is om een verbinding via dit soort netwerken te identificeren – de oorsprong IP wordt nog minder betekenisvol in een onderzoek.”
Eerdere en gerelateerde berichtgeving
Fujitsu zegt dat gestolen gegevens worden verkocht op dark web 'gerelateerd aan klanten'
Ouders van tieners die $ 1 miljoen in Bitcoin hebben gestolen, aangeklaagd door vermeend slachtoffer
Google: Hier leest u hoe onze investering van $ 10 miljard de Amerikaanse cyberbeveiliging een boost zal geven
Heeft u een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 