0
0
Os agentes de ameaças encontraram um novo vetor de ataque lucrativo que sequestra serviços legítimos de proxyware, que permitem que as pessoas vendam partes de sua largura de banda da Internet a terceiros. Em ataques em larga escala que exploram sistemas baseados em nuvem, os cibercriminosos podem usar esse vetor – apelidado de “proxyjacking” – para ganhar potencialmente centenas de milhares de dólares por mês em renda passiva, descobriram pesquisadores da Sysdig Threat Research Team (TRT).
Em um post de blog de fevereiro, os pesquisadores da Kaspersky descreveram os serviços de proxyware assim: “[Os usuários instalam um cliente que cria um] servidor proxy. Instalado em um computador desktop ou smartphone, ele torna a conexão de Internet do dispositivo acessível a uma parte externa. Essa parte externa – o serviço de proxyware – revende uma parte acordada da largura de banda do usuário para outras pessoas.
“Dependendo de quanto tempo o programa permanece ativado e quanta largura de banda é permitido usar, o cliente acumula pontos [para o usuário] que podem eventualmente ser convertidos em moeda e transferidos para uma conta bancária”, de acordo com pesquisadores da Kaspersky.
Em um ataque que os pesquisadores do Sysdig observaram, os agentes de ameaças comprometeram um contêiner em um ambiente de nuvem usando a vulnerabilidade Log4j e, em seguida, instalaram um agente proxyware que transformou o sistema em um servidor proxy sem o conhecimento do proprietário do contêiner, revelaram os pesquisadores em um post no blog em 4 de abril.
Isso permitiu que o invasor “vendesse o IP para um serviço de proxyware e coletasse o lucro”, em um tipo incomum de exploração do Log4j. Normalmente, os ataques Log4j envolvem um ator soltando um backdoor ou cryptojacking de carga útil no dispositivo, escreveu Crystal Morin, engenheira de pesquisa de ameaças da Sysdig, no post. “Embora os ataques Log4j sejam comuns, a carga útil usada neste caso era incomum”, escreveu ela.
O proxyjacking compartilha características do cryptojacking em que ambos lucram com a largura de banda de uma vítima – e ambos são igualmente lucrativos para o invasor, disse Morin. No entanto, esses ataques diferem na medida em que os invasores normalmente instalam mineradores baseados em CPU para extrair o máximo valor de sistemas comprometidos, enquanto o proxyjacking usa principalmente recursos de rede – deixando uma pegada mínima de CPU, escreveu ela.
“Quase todos os softwares de monitoramento terão o uso da CPU como uma das primeiras (e legitimamente mais importantes) métricas”, escreveu ela. “O efeito do proxyjacking no sistema é marginal: 1 GB de tráfego de rede espalhado por um mês é de dezenas de megabytes por dia – muito provavelmente passará despercebido.”
Como funciona o Proxyjacking
O proxyjacking é um fenômeno relativamente novo estimulado pelo crescimento e uso de serviços de proxyware nos últimos dois anos, disseram os pesquisadores. Como mencionado, esses serviços, como IPRoyal, Honeygain e Peer2Profit, são instalados como aplicativos ou software em dispositivos conectados à Internet que, ao serem executados, permitem que alguém compartilhe largura de banda da Internet pagando para usar o endereço IP dos usuários do aplicativo.
O proxyware é útil para pessoas que desejam usar o endereço IP de outra pessoa para atividades como assistir a um vídeo do YouTube que não está disponível em sua região, realizar raspagem e navegação irrestritas na Web ou navegar em sites duvidosos sem atribuir a atividade ao seu próprio IP, disseram os pesquisadores. De acordo com o serviço, as pessoas pagam por cada endereço IP que alguém compartilha via proxyware com base no número de horas que executam o aplicativo.
No ataque investigado pelos pesquisadores do Sysdig, os invasores tiveram como alvo um serviço Apache Solr não corrigido em execução na infraestrutura do Kubernetes para assumir o controle de um contêiner no ambiente e, em seguida, baixaram um script malicioso de um servidor de comando e controle (C2), que eles colocaram na pasta /tmp para ter privilégios para executar sua atividade.
“A primeira execução do invasor foi baixar um arquivo ELF renomeado /tmp/p32, que foi então executado com alguns parâmetros, incluindo o endereço de e-mail magyber1980@gmail[.] com e a senha associada para sua conta pawns.app”, escreveu Morin no post.
Pawns.app é um serviço proxyware que foi visto compartilhando IPs da rede proxy do IPRoyal. De fato, o Sysdig TRT correlacionou o binário baixado e executado no script malicioso com a versão da interface de linha de comando do aplicativo IPRoyal Pawns do GitHub, que usa os mesmos parâmetros, disseram os pesquisadores. Dessa forma, os invasores começaram a usar o pod comprometido para ganhar dinheiro com o serviço, disseram eles.
Os invasores cobriram seus rastros limpando o sistema comprometido de suas atividades, limpando o histórico e removendo o arquivo que deixaram cair nos contêineres e nos arquivos temporários, acrescentaram os pesquisadores.
Impacto e mitigação para ataques de proxyjacking
Embora a lista de serviços de proxyware relatados como sendo usados para proxyjacking seja pequena no momento, os pesquisadores da Sysdig acreditam que esse vetor de ataque continuará a crescer e, eventualmente, “os defensores descobrirão atividades mais nefastas”, escreveu Morin. “Este é um ataque de baixo esforço e alta recompensa para os atores de ameaças, com o potencial de implicações de longo alcance.”
Os pesquisadores estimam que, em 24 horas de atividade para um endereço IP proxyjacked, um invasor pode ganhar US $ 9,60 por mês. Em um compromisso modesto de, digamos, 100 endereços IP, um cibercriminoso poderia obter renda passiva líquida de quase US $ 1.000 por mês com essa atividade, disseram eles.
Ao explorar o Log4j em sistemas não corrigidos, esse número pode subir ainda mais, já que milhões de servidores ainda estão executando versões vulneráveis da ferramenta de registro, e mais de 23.000 deles podem ser acessados pela Internet, de acordo com a Censys, disseram os pesquisadores. “Essa vulnerabilidade sozinha poderia, teoricamente, fornecer mais de US $ 220.000 em lucro por mês” para um invasor, escreveu Morin.
Para evitar “receber contas de uso potencialmente chocantes” devido à atividade de proxyjacking, as organizações precisam tomar medidas para mitigar possíveis ataques, disseram os pesquisadores. Eles recomendaram que as organizações estabeleçam limites de faturamento e alertas com seus respectivos provadores de serviços em nuvem, o que pode ser um indicador precoce de que algo está errado, escreveu Morin.
Morin aconselhou que as organizações também devem ter regras de detecção de ameaças em vigor para receber alertas sobre qualquer atividade inicial de acesso e carga útil que anteceda a instalação de um aplicativo de serviço proxyware em sua rede.
FONTE: DARK READING