Af Charlie Osborne for Zero Day | 31. august 2021 – 12:00 GMT (13:00 BST) | Emne: Sikkerhed
Cyberangreb målretter nu deres ofres internetforbindelse til stille og roligt at generere ulovlig indtægt efter en malware -infektion.
Tirsdag sagde forskere fra Cisco Talos, at “proxyware” bliver bemærket i cyberkriminalitetens økosystem, og som følge heraf bliver det snoet til ulovlige formål.
Proxyware, også kendt som internetdeling-applikationer, er legitime tjenester, der tillader brugere at dele en del af deres internetforbindelse ud for andre enheder, og kan også omfatte firewalls og antivirusprogrammer.
Andre apps giver brugerne mulighed for at 'hoste' en hotspot -internetforbindelse og give dem kontanter hver gang en bruger opretter forbindelse til den.
Det er dette format, der leveres af legitime tjenester, herunder Honeygain, PacketStream og Nanowire, som bruges til at generere passiv indkomst på vegne af cyberangrebere og malwareudviklere.
Ifølge forskerne misbruges proxyware på samme måde som legitim kryptovaluta -minesoftware: stille installeret – enten som en sidekomponent eller som en hoved nyttelast – og med bestræbelser på at forsøge at forhindre et offer i at lægge mærke til dets tilstedeværelse, såsom gennem kontrol af ressourceforbrug og tilsløring.
I sager, der er dokumenteret af Cisco Talos, er proxyware inkluderet i flertrinsangreb. En angrebskæde begynder med et legitimt softwareprogram sammen med et trojaniseret installationsprogram, der indeholder ondsindet kode.
Når softwaren er installeret, udføres malware også. En kampagne har brugt en legitim, underskrevet Honeygain -pakke, som blev patched til også at slippe separate, ondsindede filer, der indeholder en XMRig -kryptovaluta -minearbejder, og til at omdirigere offeret til en landingsside, der er forbundet med Honeygain -henvisningskoder.
Når offeret tilmelder sig en konto, tjener denne henvisning indtægter til en angriber – alt imens en kryptovaluta -minearbejder også stjæler computerressourcer.
Dette er imidlertid ikke den eneste metode, der bruges til at generere kontanter. I en separat kampagne blev en malware -familie identificeret, der forsøger at installere Honeygain på et ofrets pc og registrerer softwaren under en angriberkonto, og derfor sendes enhver indtjening til svindleren.
“Selvom Honeygain begrænser antallet af enheder, der opererer under en enkelt konto, er der intet i vejen for, at en angriber registrerer flere Honeygain -konti for at skalere deres drift baseret på antallet af inficerede systemer under deres kontrol,” siger forskere.
En anden variant udnyttede flere veje og bundtede ikke kun proxyware -software, men også en kryptovaluta -minearbejder og informationsstjæler til tyveri af legitimationsoplysninger og andre værdifulde data.
“Dette er en nylig tendens, men potentialet til at vokse er enormt,” siger Cisco Talos. “Vi ser allerede alvorlige overgreb fra trusselsaktører, der tjener et betydeligt beløb på disse angreb. Disse platforme udgør også nye udfordringer for forskere, da der ikke er nogen måde at identificere en forbindelse gennem denne slags netværk – oprindelsen IP bliver endnu mindre meningsfuld i en undersøgelse. ”
Tidligere og beslægtet dækning
Fujitsu siger, at stjålne data sælges på mørkt web 'relateret til kunders'
Forældre til teenagere, der stjal 1 million dollars i Bitcoin sagsøgt af påstået offer
Google: Sådan vil vores investering på $ 10 mia øge amerikansk cybersikkerhed
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centers 