Novos ataques de proxyjacking monetizam a largura de banda de servidores SSH hackeados
3 de Julho de 2023

Os responsáveis por uma série contínua de ataques de proxyjacking estão invadindo servidores SSH vulneráveis expostos online para monetizá-los por meio de serviços de proxyware que pagam pelo compartilhamento de largura de banda de internet não utilizada.

Assim como o cryptojacking, que permite que os atacantes usem sistemas invadidos para minerar criptomoedas, o proxyjacking é uma tática de baixo esforço e alta recompensa para aproveitar os recursos de dispositivos comprometidos.

No entanto, o proxyjacking é mais difícil de detectar, pois apenas aproveita a largura de banda não utilizada dos sistemas invadidos e não afeta sua estabilidade e usabilidade geral.

Embora os atores ameaçadores também possam usar dispositivos invadidos para configurar proxies que os ajudem a ocultar suas atividades maliciosas, os cibercriminosos por trás dessa campanha estavam interessados apenas na monetização por meio de serviços comerciais de proxyware.

"Esta é uma campanha ativa na qual o atacante aproveita o SSH para acesso remoto, executando scripts maliciosos que inscrevem secretamente servidores de vítimas em uma rede de proxy peer-to-peer (P2P), como o Peer2Proxy ou o Honeygain", disse o pesquisador de segurança da Akamai, Allen West.

"Isso permite que o atacante monetize a largura de banda extra de uma vítima desprevenida, com apenas uma fração da carga de recursos que seria necessária para a mineração de criptomoedas, com menos chance de descoberta."

Ao investigar essa campanha, a Akamai encontrou uma lista contendo o IP que iniciou a investigação e pelo menos 16.500 outros proxies compartilhados em um fórum online.

A Akamai detectou os ataques pela primeira vez em 8 de junho, depois de várias conexões SSH terem sido feitas em honeypots gerenciados pela equipe de Resposta de Inteligência de Segurança (SIRT) da empresa.

Ao se conectar a um dos servidores SSH vulneráveis, os atacantes implantaram um script Bash codificado em Base64 que adicionava os sistemas invadidos às redes de proxy do Honeygain ou do Peer2Profit.

O script também configura um contêiner baixando imagens do Docker do Peer2Profit ou do Honeygain e matando contêineres de compartilhamento de largura de banda de concorrentes.

A Akamai também encontrou mineradores de criptomoedas usados em ataques de cryptojacking, exploits e ferramentas de hacking no servidor comprometido usado para armazenar o script malicioso.

Isso sugere que os atores ameaçadores se voltaram completamente para o proxyjacking ou o usaram como uma renda passiva adicional.

"O proxyjacking se tornou a nova forma de os cibercriminosos ganharem dinheiro com dispositivos comprometidos tanto no ecossistema corporativo quanto no ecossistema do consumidor", disse West.

"É uma alternativa mais furtiva ao cryptojacking e tem sérias implicações que podem aumentar as dores de cabeça que os ataques de camada 7 já causam."

Esta é apenas uma de muitas campanhas semelhantes que inscrevem sistemas comprometidos em serviços de proxyware como Honeygain, Nanowire, Peer2Profit, IPRoyal e outros, conforme relatado anteriormente pela Cisco Talos e Ahnlab.

Em abril, a Sysdig também identificou proxyjackers aproveitando a vulnerabilidade do Log4j para acesso inicial, permitindo que eles obtivessem lucros de até US$ 1.000 para cada 100 dispositivos adicionados à sua botnet de proxyware.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...