Siber saldırganlar artık kurbanlarının internet bant genişliğini sessizce satıyorlar

Siber saldırganlar artık kurbanlarının internet bant genişliğini sessizce satıyorlar

Siber saldırganlar, kötü amaçlı yazılım bulaşmasının ardından sessizce yasadışı gelir elde etmek için kurbanlarının internet bağlantısını hedefliyor.

Salı günü, Cisco Talos'tan araştırmacılar, siber suç ekosisteminde "proxy yazılımın" fark edildiğini ve bunun sonucunda yasadışı amaçlar için çarpıtıldığını söyledi.

İnternet paylaşım uygulamaları olarak da bilinen proxy yazılımlar, kullanıcıların internet bağlantılarının bir kısmını diğer cihazlara ayırmalarına izin veren yasal hizmetlerdir ve güvenlik duvarları ve antivirüs programları da içerebilir.

Diğer uygulamalar, kullanıcıların bir etkin nokta internet bağlantısını 'barındırmasına' izin vererek, bir kullanıcı ona her bağlandığında onlara nakit sağlar.

Honeygain, PacketStream ve Nanowire gibi meşru hizmetler tarafından sağlanan ve siber saldırganlar ve kötü amaçlı yazılım geliştiriciler adına pasif gelir elde etmek için kullanılan bu formattır.

Araştırmacılara göre, proxy yazılımlar meşru kripto para madenciliği yazılımıyla aynı şekilde kötüye kullanılıyor: sessizce yükleniyor - ya bir yan bileşen olarak ya da bir ana yük olarak - ve bir kurbanın varlığını fark etmesini engellemeye yönelik çabalarla, örneğin kaynak kullanımı kontrolü ve şaşırtmaca yoluyla.

Cisco Talos tarafından belgelenen durumlarda, çok aşamalı saldırılara proxyware dahildir. Saldırı zinciri, kötü amaçlı kod içeren Truva atlı bir yükleyiciyle birlikte paketlenmiş meşru bir yazılım programıyla başlar.

Yazılım yüklendiğinde, kötü amaçlı yazılım da yürütülür. Bir kampanya, XMRig kripto para madenciliği içeren ayrı, kötü niyetli dosyaları bırakmak ve kurbanı Honeygain yönlendirme kodlarına bağlı bir açılış sayfasına yönlendirmek için yamalanmış meşru, imzalı bir Honeygain paketi kullandı.

Kurban bir hesaba kaydolduğunda, bu yönlendirme bir saldırgan için gelir elde eder - tüm bu sırada bir kripto para madenciliği de bilgisayar kaynaklarını çalar.

Ancak, nakit üretmek için kullanılan tek yöntem bu değildir. Ayrı bir kampanyada, Honeygain'i kurbanın bilgisayarına yüklemeye çalışan ve yazılımı bir saldırganın hesabına kaydeden bir kötü amaçlı yazılım ailesi tespit edildi ve böylece elde edilen kazançlar dolandırıcıya gönderildi.

Araştırmacılar, "Honeygain tek bir hesap altında çalışan cihazların sayısını sınırlarken, bir saldırganın kontrolleri altındaki virüslü sistemlerin sayısına göre operasyonlarını ölçeklendirmek için birden fazla Honeygain hesabı kaydetmesini durduracak hiçbir şey yok" diyor.

Başka bir varyant birden fazla yoldan yararlandı ve yalnızca proxyware yazılımını değil, aynı zamanda kimlik bilgilerinin ve diğer değerli verilerin çalınması için bir kripto para madenciliği ve bilgi hırsızını da bir araya getirdi.

Cisco Talos, "Bu yeni bir trend, ancak büyüme potansiyeli çok büyük" diyor. "Bu saldırılardan önemli miktarda para kazanan tehdit aktörleri tarafından zaten ciddi suistimaller görüyoruz. Bu platformlar ayrıca araştırmacılar için yeni zorluklar yaratıyor, çünkü bu tür ağlar aracılığıyla bir bağlantı belirlemenin bir yolu yok - kaynağın kökeni. IP, bir soruşturmada daha da az anlamlı hale geliyor."

Kaynak: ZDNeT