0
0
Cibercriminosos estão realizando uma série de ataques de proxyjacking para invadir servidores SSH vulneráveis expostos online para monetizá-los por meio de serviços de proxyware
Hackers estão realizando uma série de ataques de proxyjacking para invadir servidores SSH (Secure Socket Shell) vulneráveis expostos online para monetizá-los por meio de serviços de proxyware que pagam pelo compartilhamento de largura de banda não utilizada da internet. Servidores SSH geralmente são usados por desenvolvedores e outros usuários para realizarem alterações em sites e servidores utilizando uma conexão simples e segura.
Assim como o cryptojacking, que permite que invasores usem sistemas hackeados para minerar criptomoedas, o proxyjacking é uma tática de baixo esforço e alta recompensa de sugar recursos de dispositivos comprometidos. No entanto, o proxyjacking é mais difícil de detectar porque apenas suga a largura de banda não utilizada dos sistemas hackeados e não afeta sua estabilidade e usabilidade gerais.
Embora os operadores de ameaças também possam usar dispositivos hackeados para configurar proxies que podem ajudá-los a ocultar seus rastros e ofuscar atividades maliciosas, os cibercriminosos por trás dessa campanha estão interessados apenas na monetização por meio de serviços comerciais de proxyware.
“Esta é uma campanha ativa na qual o invasor aproveita o SSH para acesso remoto, executando scripts maliciosos que alistam furtivamente os servidores das vítimas em uma rede proxy ponto a ponto [P2P], como Peer2Proxy ou Honeygain”, disse Allen West, pesquisador de segurança da Akamai. “Isso permite que o invasor monetize a largura de banda extra de uma vítima inocente, com apenas uma fração da carga de recursos que seria necessária para criptomineração, com menos chance de descoberta.”
Ao investigar esta campanha, a Akamai encontrou uma lista contendo o IP que iniciou a investigação e pelo menos 16.500 outros proxies compartilhados em um fórum online. A empresa detectou os ataques pela primeira vez em 8 de junho, depois que várias conexões SSH foram feitas para honeypots gerenciados pelo Security Intelligence Response Team (SIRT) da empresa.
Uma vez conectados a um dos servidores SSH vulneráveis, os invasores implantaram um script Bash codificado em Base64 que adicionou os sistemas hackeados às redes proxy da Honeygain ou da Peer2Profit. O script também configura um contêiner baixando imagens Peer2Profit ou Honeygain Docker e eliminando os contêineres de compartilhamento de largura de banda de outros rivais.
A Akamai também encontrou criptomineradores usados em ataques de cryptojacking, explorações e ferramentas de hacking no servidor comprometido usado para armazenar o script malicioso. Isso sugere que os operadores de ameaças se voltaram totalmente para o proxyjacking ou o usaram para obter uma renda adicional.
“O proxyjacking tornou-se a mais nova maneira de os cibercriminosos ganharem dinheiro com dispositivos comprometidos, tanto no ecossistema corporativo quanto no ecossistema do consumidor”, disse West. “É uma alternativa mais furtiva ao cryptojacking e tem sérias implicações que podem aumentar as dores de cabeça que os ataques de camada 7 de proxy já oferecem.”
FONTE: CISO ADVISOR