Gli attori malintenzionati stanno trovando nuovi modi per monetizzare i loro attacchi sfruttando nuove piattaforme di condivisione Internet o “proxyware” come Honeygain, Nanowire e altre.
Uno dei modi più ovvi è l’installazione silenziosa del client della piattaforma per “vendere” la larghezza di banda della vittima a sua insaputa. Con le app di condivisione Internet o “proxyware”, gli utenti infatti scaricano un software che consente loro di condividere una percentuale della propria larghezza di banda con altri utenti Internet a pagamento, con le società autrici del software che fungono da intermediari.
In alcuni casi, gli avversari patchano il client per interrompere eventuali avvisi che avvisano la vittima. Poiché queste piattaforme sono cresciute di popolarità, gli avversari hanno iniziato a sfruttare i programmi di installazione trojanizzati, che installano il client legittimo della piattaforma, nonché i miners di valuta digitale e i ladri di informazioni. Vista la natura dei servizi proxyware, gli utenti si aspettano che le loro prestazioni ne risentiranno, rendendolo un perfetto travestimento per i miners.
I ricercatori di Cisco Talos hanno anche individuato una famiglia di malware che distribuirà un set completo di metodi di monetizzazione: rilascia una versione con patch del client Honeygain, un miner XMRig e un ladro di informazioni. Inoltre, sembra che si stia evolvendo per distribuire anche un client Nanowire, un’altra di queste applicazioni proxyware.
Il malware sta attualmente sfruttando queste piattaforme per monetizzare la larghezza di banda Internet delle vittime. I programmi di installazione trojan sono alcune delle minacce più comuni che sfruttano l’interesse pubblico per il proxyware per infettare le vittime.
Queste applicazioni comportano rischi operativi e di privacy significativi per le organizzazioni in quanto possono far sembrare che il traffico di rete nefasto o abusivo provenga dalle reti aziendali, con conseguenti danni alla reputazione che possono anche portare all’interruzione del servizio.
https://blog.talosintelligence.com/2021/08/proxyware-abuse.html