Nowe zagrożenie - cyberprzestępcy po cichu odsprzedają pasmo internetowe swoich ofiar.

Proxyware to legalna usługa

Najwyraźniej cyberprzestępcy biorą teraz na cel połączenia internetowe swoich ofiar, aby po cichu generować kolejne, nielegalne przychody po infekcji złośliwym oprogramowaniem. Otóż we wtorek badacze z Cisco Talos stwierdzili, że tzw. proxyware staje się coraz bardziej zauważalne w ekosystemie narzędzi stosowanych przez atakujących i zaczyna być wykorzystywane do nielegalnych celów.

Proxyware, znane również jako aplikacje do współdzielenia Internetu, są legalnymi usługami, które pozwalają użytkownikom na wydzielenie części swojego połączenia internetowego dla innych urządzeń, a także mogą dodatkowo oferować zapory sieciowe i programy antywirusowe. Niektóre aplikacje tego typu pozwolą użytkownikom nawet na „hostowanie” połączenia internetowego typu hotspot, zapewniając im dochody za każdym razem, gdy jakiś użytkownik się z nim połączy.

Będą zajmowali Twoje łącze po cichu

To właśnie ten format, oferowany przez legalne usługi, takie jak Honeygain, PacketStream czy Nanowire, jest wykorzystywany do generowania pasywnego dochodu dla twórców złośliwego oprogramowania. Według ekspertów oprogramowanie proxyware jest wykorzystywane w taki sam sposób, jak legalne oprogramowanie do wydobywania kryptowalut. Jest więc instalowane po cichu - jako komponent poboczny innego oprogramowania – a cyberprzestępcy dodatkowo podejmują wysiłki aby uniemożliwić ofierze zauważenie jego obecności, np. poprzez kontrolę wykorzystania zasobów i obfuskację (zaciemnianie kodu).

W przypadkach udokumentowanych przez Cisco Talos oprogramowanie proxy jest używane jako element wieloetapowych ataków. Łańcuch ataku rozpoczyna się od dołączenia do legalnego programu trojana instalacyjnego zawierającego złośliwy kod. Gdy oprogramowanie jest instalowane, uruchamiane jest również złośliwe oprogramowanie. W jednej z kampanii wykorzystano legalny, podpisany pakiet Honeygain, który został zmodyfikowany w ten sposób, że zawierał także złośliwe pliki, między innymi pozwalające kopać na komputerze ofiary kryptowalutę XMRig. Ponadto oprogramowanie przekierowuje ofiarę na stronę rejestrującą użytkowników Honeygain (z użyciem kodu polecającego). Gdy ofiara zarejestruje sobie konto przynosi atakującemu dodatkowy dochód – w sumie z dwóch źródeł.

Od strony technicznej

Po uruchomieniu pakiet instalacyjny rozpakowuje różne komponenty do katalogu %TEMP% w systemie, a następnie uruchamia legalny instalator Honeygain, który jest wyświetlany ofierze. W tym samym czasie instalator po cichu tworzy i uruchamia różne komponenty wymagane do działania złośliwego oprogramowania.

Główny katalog programu Honeygain wykorzystywany podczas procesu instalacji znajduje się w C:\Program Files (x86)\Honey gain. W tym samym katalogu przechowywane są dwa złośliwe pliki - setup_x86.exe oraz url.vbs. Szkodliwe oprogramowanie tworzy również katalog roboczy C:\ProgramData\Microsoft Windows\intelx86_driver i zapisuje w nim główny plik do wydobywania kryptowalut (iv.exe).

Będzie tego więcej

Jednak nie jest to jedyna metoda wykorzystywana do generowania gotówki. Zidentyfikowano także całą rodzinę złośliwego oprogramowania, która próbuje zainstalować Honeygain na komputerze ofiary i samodzielnie rejestruje oprogramowanie na konto osoby atakującej, dzięki czemu wszelkie zyski są przesyłane do oszusta. Zdaniem ekspertów:

Chociaż Honeygain ogranicza liczbę urządzeń działających na jednym koncie, nic nie stoi na przeszkodzie, aby napastnik zarejestrował wiele kont Honeygain w celu zwiększenia skali działania w zależności od liczby zainfekowanych systemów znajdujących się pod jego kontrolą.

Inny wariant wykorzystywał wiele dróg „oskubania” ofiary, dołączając nie tylko oprogramowanie proxyware czy minera kryptowalut ale także narzędzia do kradzieży danych uwierzytelniających. Według Cisco Talos:

Jest to najnowszy trend a jego potencjał wzrostu jest ogromny. Już teraz widzimy poważne nadużycia ze strony podmiotów stanowiących zagrożenie, które mogą zarobić na tych atakach znaczne sumy pieniędzy. Platformy te stanowią również nowe wyzwania dla specjalistów od cyberbezpieczeństwa ponieważ nie ma sposobu na zidentyfikowanie połączenia poprzez tego rodzaju sieci – adres IP staje się jeszcze mniej znaczący w całym śledztwie niż przy innych atakach.