Proxyware é a nova forma de lucrar dos ciberatacantes

Ciberatacantes estão inovando na forma de tornar seus ataques mais lucrativos. Pesquisadores do Cisco Talos disseram que o “proxyware” está sendo visado pelos atacantes, que vendem, silenciosamente, a largura de banda da Internet de suas vítimas. Para os especialistas da Cisco isso representa novos desafios para as organizações, especialmente para aquelas cujo acesso à Internet é classificado como residencial.

Na terça-feira, Edmund Brumaghin e Vitor Ventura, pesquisadores do Cisco Talos, disseram em postagem no blog da empresa, que os invasores estão encontrando novas maneiras de monetizar seus ataques, “abusando de plataformas de compartilhamento de Internet ou ‘proxyware’ como Honeygain, Nanowire e outras”.

O proxyware, ou aplicativos de compartilhamento de Internet, são serviços legítimos que dividem a conexão da Internet com outros dispositivos e também podem incluir firewalls e programas antivírus. “As plataformas de proxy permitem que os usuários vendam o uso da largura de banda não utilizada da Internet, normalmente executando um aplicativo cliente – responsável por conectar seu sistema a uma rede operada pelo provedor da plataforma”, explicaram os pesquisadores.

“O provedor então vende o acesso a essa rede e roteia o tráfego do cliente por meio da rede, permitindo que seus clientes acessem a Internet usando a largura de banda e as conexões de Internet fornecidas pelos nós da rede”, eles continuaram.

Essa operação é fornecida por serviços legítimos, incluindo Honeygain, PacketStream e Nanowire, que está sendo usado para gerar renda passiva em nome de ciberataques e desenvolvedores de malware. No entanto, muitas vezes os usuários dessas plataformas não têm conhecimento das implicações operacionais ou de privacidade de executar esses clientes em seus sistemas.

“No caso da plataforma Honeygain, devido à forma como as comunicações são processadas para facilitar a recuperação e entrega de conteúdo, pode ser possível monitorar a atividade de DNS de outros usuários da plataforma. O conteúdo não criptografado recuperado (como HTTP) pode ser interceptado e manipulado em trânsito por nós Honeygain sob controle adversário, criando uma variedade de cenários de ataque plausíveis”, escreveram no blog.

Os pesquisadores identificaram que os atacantes estão usando vários métodos para aumentar a eficácia de suas campanhas de malware. Ao longo da pesquisa, eles notaram uma variedade de malwares distribuídos sob o disfarce de instaladores legítimos para aplicativos como Honeygain.

“Esses instaladores trojanizados permitem que os adversários distribuam ameaças como RATs, ladrões de informações e outros malwares para as vítimas que acreditam estar instalando aplicativos legítimos”, escreveram.

Em outros casos, os hackers maliciosos distribuem os aplicativos de proxyware para monetizar a largura de banda da rede das vítimas para gerar receita. Os pesquisadores também observaram um malware que tentava aproveitar os recursos da CPU das vítimas para minerar criptomoedas, à medida que monetizava sua largura de banda de rede usando aplicativos proxyware.

O Cisco Talos também identificou uma família de malware que implanta um conjunto completo de métodos de monetização – ele descarta uma versão corrigida do cliente Honeygain, um minerador XMRig e um ladrão de informações. Além disso, eles disseram, parece estar evoluindo para implantar também um cliente Nanowire, outro desses aplicativos proxyware.

“As organizações devem estar cientes desses aplicativos, como funcionam e como estão sendo aproveitados, pois podem representar um risco significativo para os ambientes corporativos. A largura de banda dos usuários pode ser vendida aos clientes da plataforma para acesso à internet, enquanto as ações realizadas por eles neste acesso são registradas no endereço IP da organização. Essa é uma tendência recente, mas o potencial de crescimento é enorme”, escreveram.