Хакеры используют легитимные сервисы, позволяющие пользователям разделять часть своего интернет-соединения для других устройств.
Киберпреступники в последнее время начали использовать интернет-подключение своих жертв с целью незаметно получать незаконный доход после заражения вредоносным ПО. По словам исследователей из компании Cisco Talos, метод с использованием proxyware становится все более распространенным в сфере киберпреступности.
Proxyware представляют собой легитимные сервисы, позволяющие пользователям разделять часть своего интернет-соединения для других устройств. Данные программы также могут включать межсетевые экраны и антивирусные решения. Приложения позволят «размещать» подключение к Интернету через точку доступа, принося доход каждый раз при подключении пользователя. Именно этот формат, предоставляемый легитимными сервисами, такими, как Honeygain, PacketStream и Nanowire, используется для получения пассивного дохода киберпреступниками и разработчиками вредоносных программ.
По словам экспертов, proxyware используется в злонамеренных целях так же, как и легитимное ПО для майнинга криптовалюты. Хакеры пытаются незаметно установить ПО на устройство жертвы и скрыть его присутствие.
Proxyware использовались в многоступенчатых атаках. Цепочка атак начинается с установки легитимного программного обеспечения, связанного с троянским установщиком, содержащим вредоносный код. Когда программное обеспечение установлено, запускается вредоносная программа. В одной кампании использовался легитимный подписанный пакет Honeygain, который был модифицирован для загрузки отдельных вредоносных файлов, содержащих криптовалютный майнер XMRig, и для перенаправления жертвы на целевую страницу, связанную с реферальными кодами Honeygain. После того, как жертва регистрирует учетную запись, реферал генерирует доход для злоумышленника. Все это время майнер криптовалюты также ворует ресурсы компьютера.
Однако это не единственный метод получения денежных средств. В рамках отдельной кампании было выявлено семейство вредоносных программ, которые пытаются установить Honeygain на компьютер жертвы и регистрируют программное обеспечение под учетной записью злоумышленника, поэтому все доходы отправляются мошеннику.
Источник: securitylab