Criminosos virtuais sequestrando servidores SSH vulneráveis em nova campanha de proxyjacking
30 de Junho de 2023

Uma campanha financeiramente motivada está direcionando servidores SSH vulneráveis para envolvê-los secretamente em uma rede de proxy.

"Esta é uma campanha ativa na qual o atacante aproveita o SSH para acesso remoto, executando scripts maliciosos que inscrevem furtivamente servidores vítimas em uma rede de proxy ponto a ponto (P2P), como o Peer2Profit ou o Honeygain", disse o pesquisador da Akamai, Allen West, em um relatório na quinta-feira.

Ao contrário do cryptojacking, no qual os recursos de um sistema comprometido são usados para minerar criptomoedas ilicitamente, o proxyjacking oferece a capacidade para atores de ameaças aproveitarem a largura de banda não utilizada da vítima para executar secretamente diferentes serviços como um nó P2P.

Isso oferece benefícios duplos: não apenas permite ao atacante monetizar a largura de banda extra com uma carga de recursos significativamente reduzida que seria necessária para realizar o cryptojacking, mas também reduz as chances de descoberta.

"É uma alternativa mais discreta ao cryptojacking e tem sérias implicações que podem aumentar os problemas que os ataques de camada 7 já causam", disse West.

Para piorar as coisas, o anonimato fornecido pelos serviços de proxyware pode ser uma faca de dois gumes, pois pode ser abusado por atores maliciosos para ocultar a origem de seus ataques, roteando o tráfego por meio de nós intermediários.

A Akamai, que descobriu a última campanha em 8 de junho de 2023, afirmou que a atividade é projetada para violar servidores SSH suscetíveis e implantar um script Bash ofuscado que, por sua vez, está equipado para buscar dependências necessárias de um servidor web comprometido, incluindo a ferramenta de linha de comando curl, camuflando-a como um arquivo CSS ("csdark.css").

O script furtivo também procura ativamente e encerra instâncias concorrentes em execução de serviços de compartilhamento de largura de banda, antes de lançar serviços Docker que compartilham a largura de banda da vítima para obter lucros.

Uma análise adicional do servidor web revelou que ele também está sendo usado para hospedar um minerador de criptomoedas, sugerindo que os atores de ameaças estão se envolvendo tanto em ataques de cryptojacking quanto de proxyjacking.

Embora o proxyware não seja intrinsecamente nefasto, a Akamai observou que "algumas dessas empresas não verificam corretamente a origem dos IPs na rede e até ocasionalmente sugerem que as pessoas instalem o software em seus computadores de trabalho".

Mas tais operações transcendem para o reino do cibercrime quando as aplicações são instaladas sem o conhecimento ou consentimento dos usuários, permitindo assim que o ator de ameaças controle vários sistemas e gere receita ilegítima.

"Técnicas antigas continuam sendo eficazes, especialmente quando combinadas com novos resultados", disse West.

"Práticas de segurança padrão continuam sendo um mecanismo eficaz de prevenção, incluindo senhas fortes, gerenciamento de patches e registro meticuloso."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...