Các tác nhân đe dọa đang tận dụng sự phổ biến ngày càng tăng của các nền tảng proxyware như Honeygain và Nanowire để kiếm tiền từ các chiến dịch phần mềm độc hại của riêng họ, một lần nữa minh họa cách những kẻ tấn công nhanh chóng sử dụng lại và vũ khí hóa các nền tảng hợp pháp có lợi cho họ.
“Phần mềm độc hại hiện đang tận dụng các nền tảng này để kiếm tiền từ băng thông internet của nạn nhân, tương tự như cách khai thác tiền điện tử độc hại cố gắng kiếm tiền từ các chu kỳ CPU của các hệ thống bị nhiễm”, các nhà nghiên cứu từ Cisco Talos nói trong một phân tích hôm thứ Ba. “Trong nhiều trường hợp, các ứng dụng này có đặc điểm trong các cuộc tấn công phần mềm độc hại nhiều giai đoạn, nhiều trọng tải cung cấp cho đối thủ nhiều phương thức kiếm tiền.”
Proxyware, còn được gọi là ứng dụng chia sẻ internet, là các dịch vụ hợp pháp cho phép người dùng sử dụng phần trăm băng thông internet của họ cho các thiết bị khác, thường có tính phí, thông qua một ứng dụng khách do nhà cung cấp cung cấp, cho phép khách hàng khác truy cập internet bằng kết nối internet được cung cấp bởi các nút trên mạng. Đối với người tiêu dùng, các dịch vụ như vậy được “quảng cáo như một phương tiện để vượt qua kiểm tra vị trí địa lý trên các nền tảng phát trực tuyến hoặc trò chơi trong khi tạo ra một số thu nhập cho người dùng cung cấp băng thông của họ”, các nhà nghiên cứu giải thích.
Nhưng việc sử dụng bất hợp pháp phần mềm proxy cũng gây ra vô số rủi ro mà chúng có thể cho phép các tác nhân đe dọa làm xáo trộn nguồn gốc của các cuộc tấn công của họ, do đó không chỉ mang lại cho họ khả năng thực hiện các hành động độc hại bằng cách làm cho nó có vẻ như có nguồn gốc từ các khu dân cư hợp pháp. hoặc mạng công ty, nhưng cũng đưa ra các biện pháp bảo vệ mạng truyền thống không hiệu quả dựa vào danh sách chặn dựa trên IP.
Các nhà nghiên cứu lưu ý: “Các cơ chế tương tự hiện được sử dụng để theo dõi và theo dõi các nút thoát Tor, proxy” ẩn danh “và các kỹ thuật làm xáo trộn lưu lượng phổ biến khác hiện không tồn tại để theo dõi các nút trong các mạng proxyware này”.
Đó không phải là tất cả. Các nhà nghiên cứu đã xác định một số kỹ thuật được những kẻ xấu áp dụng, bao gồm cả trình cài đặt proxyware bị trojan hóa cho phép phân phối lén lút những kẻ đánh cắp thông tin và trojan truy cập từ xa (RAT) mà nạn nhân không hề hay biết. Trong một trường hợp được Cisco Talos quan sát, những kẻ tấn công đã được phát hiện sử dụng các ứng dụng proxyware để kiếm tiền từ băng thông mạng của nạn nhân nhằm tạo doanh thu cũng như khai thác tài nguyên CPU của máy bị xâm phạm để khai thác tiền điện tử.
Một trường hợp khác liên quan đến một chiến dịch phần mềm độc hại nhiều giai đoạn mà đỉnh điểm là việc triển khai kẻ đánh cắp thông tin, trọng tải khai thác tiền điện tử, cũng như phần mềm proxy, nhấn mạnh “các phương pháp tiếp cận đa dạng có sẵn cho đối thủ”, những kẻ hiện có thể vượt ra ngoài tiền điện tử để cướp bóc dữ liệu có giá trị và kiếm tiền từ các trường hợp lây nhiễm thành công theo những cách khác.
Đáng quan tâm hơn, các nhà nghiên cứu đã phát hiện ra phần mềm độc hại được sử dụng để âm thầm cài đặt Honeygain trên các hệ thống bị nhiễm và đăng ký khách hàng bằng tài khoản Honeygain của đối thủ để trục lợi băng thông internet của nạn nhân. Điều này cũng có nghĩa là kẻ tấn công có thể đăng ký nhiều tài khoản Honeygain để mở rộng quy mô hoạt động của chúng dựa trên số lượng hệ thống bị nhiễm mà chúng kiểm soát.
“Đối với các tổ chức, các nền tảng này đặt ra hai vấn đề thiết yếu: Việc lạm dụng tài nguyên của họ, cuối cùng bị chặn do các hoạt động mà họ thậm chí không kiểm soát và nó làm tăng bề mặt tấn công của tổ chức, có khả năng tạo ra một vectơ tấn công ban đầu trực tiếp trên điểm cuối, ” các nhà nghiên cứu kết luận: “Do những rủi ro khác nhau liên quan đến các nền tảng này, các tổ chức nên xem xét việc cấm sử dụng các ứng dụng này trên tài sản của công ty.”
