Os responsáveis por uma série contínua de ataques de proxyjacking estão invadindo servidores SSH vulneráveis expostos online para monetizá-los por meio de serviços de proxyware que pagam pelo compartilhamento de largura de banda de internet não utilizada.
Assim como o cryptojacking, que permite que os atacantes usem sistemas invadidos para minerar criptomoedas, o proxyjacking é uma tática de baixo esforço e alta recompensa para aproveitar os recursos de dispositivos comprometidos.
No entanto, o proxyjacking é mais difícil de detectar, pois apenas aproveita a largura de banda não utilizada dos sistemas invadidos e não afeta sua estabilidade e usabilidade geral.
Embora os atores ameaçadores também possam usar dispositivos invadidos para configurar proxies que os ajudem a ocultar suas atividades maliciosas, os cibercriminosos por trás dessa campanha estavam interessados apenas na monetização por meio de serviços comerciais de proxyware.
"Esta é uma campanha ativa na qual o atacante aproveita o SSH para acesso remoto, executando scripts maliciosos que inscrevem secretamente servidores de vítimas em uma rede de proxy peer-to-peer (P2P), como o Peer2Proxy ou o Honeygain", disse o pesquisador de segurança da Akamai, Allen West.
"Isso permite que o atacante monetize a largura de banda extra de uma vítima desprevenida, com apenas uma fração da carga de recursos que seria necessária para a mineração de criptomoedas, com menos chance de descoberta."
Ao investigar essa campanha, a Akamai encontrou uma lista contendo o IP que iniciou a investigação e pelo menos 16.500 outros proxies compartilhados em um fórum online.
A Akamai detectou os ataques pela primeira vez em 8 de junho, depois de várias conexões SSH terem sido feitas em honeypots gerenciados pela equipe de Resposta de Inteligência de Segurança (SIRT) da empresa.
Ao se conectar a um dos servidores SSH vulneráveis, os atacantes implantaram um script Bash codificado em Base64 que adicionava os sistemas invadidos às redes de proxy do Honeygain ou do Peer2Profit.
O script também configura um contêiner baixando imagens do Docker do Peer2Profit ou do Honeygain e matando contêineres de compartilhamento de largura de banda de concorrentes.
A Akamai também encontrou mineradores de criptomoedas usados em ataques de cryptojacking, exploits e ferramentas de hacking no servidor comprometido usado para armazenar o script malicioso.
Isso sugere que os atores ameaçadores se voltaram completamente para o proxyjacking ou o usaram como uma renda passiva adicional.
"O proxyjacking se tornou a nova forma de os cibercriminosos ganharem dinheiro com dispositivos comprometidos tanto no ecossistema corporativo quanto no ecossistema do consumidor", disse West.
"É uma alternativa mais furtiva ao cryptojacking e tem sérias implicações que podem aumentar as dores de cabeça que os ataques de camada 7 já causam."
Esta é apenas uma de muitas campanhas semelhantes que inscrevem sistemas comprometidos em serviços de proxyware como Honeygain, Nanowire, Peer2Profit, IPRoyal e outros, conforme relatado anteriormente pela Cisco Talos e Ahnlab.
Em abril, a Sysdig também identificou proxyjackers aproveitando a vulnerabilidade do Log4j para acesso inicial, permitindo que eles obtivessem lucros de até US$ 1.000 para cada 100 dispositivos adicionados à sua botnet de proxyware.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...