Una campaña activa con motivación financiera se dirige a los servidores SSH vulnerables para atraparlos de forma encubierta en una red proxy.
“Esta es una campaña activa en la que el atacante aprovecha SSH para el acceso remoto, ejecutando scripts maliciosos que reclutan sigilosamente a los servidores de la víctima en una red proxy punto a punto (P2P), como Peer2Profit o Honeygain”, dijo Allen West, investigador de Akamai. dicho en un informe del jueves.
A diferencia del cryptojacking, en el que los recursos de un sistema comprometido se utilizan para extraer criptomonedas de forma ilícita, el proxyjacking ofrece a los actores de amenazas la capacidad de aprovechar el ancho de banda no utilizado de la víctima para ejecutar de forma encubierta diferentes servicios como un nodo P2P.
Esto ofrece dos beneficios: no solo permite al atacante monetizar el ancho de banda adicional con una carga de recursos significativamente menor que sería necesaria para llevar a cabo el criptojacking, sino que también reduce las posibilidades de descubrimiento.
“Es una alternativa más sigilosa al cryptojacking y tiene serias implicaciones que pueden aumentar los dolores de cabeza que Ataques de capa 7 ya sirven”, dijo West.
Para empeorar las cosas, el anonimato proporcionado por los servicios de proxyware puede ser un arma de doble filo, ya que los actores maliciosos podrían abusar de ellos para ofuscar la fuente de sus ataques al enrutar el tráfico a través de nodos intermediarios.
Akamai, que descubrió la última campaña el 8 de junio de 2023, dijo que la actividad está diseñada para infringir información susceptible servidores SSH e implemente un script Bash ofuscado que, a su vez, está equipado para obtener las dependencias necesarias de un servidor web comprometido, incluida la herramienta de línea de comandos curl camuflándolo como un archivo CSS (“csdark.css”).
El script sigiloso busca activamente y finaliza las instancias de la competencia que ejecutan servicios de uso compartido de ancho de banda, antes de iniciar los servicios de Docker que comparten el ancho de banda de la víctima para obtener ganancias.
Un examen más detallado del servidor web ha revelado que también se está utilizando para alojar un minero de criptomonedas, lo que sugiere que los actores de amenazas están incursionando en los ataques de cryptojacking y proxyjacking.
Si bien el software proxy no es intrínsecamente nefasto, Akamai señaló que “algunas de estas empresas no verifican adecuadamente el origen de las IP en la red e incluso ocasionalmente sugieren que las personas instalen el software en sus computadoras de trabajo”.
Pero tales operaciones trascienden al ámbito del delito cibernético cuando las aplicaciones se instalan sin el conocimiento o consentimiento de los usuarios, lo que permite que el actor de amenazas controle varios sistemas y genere ingresos ilegítimos.
“Las viejas técnicas siguen siendo efectivas, especialmente cuando se combinan con nuevos resultados”, dijo West. “Las prácticas de seguridad estándar siguen siendo un mecanismo de prevención eficaz, incluidas contraseñas seguras, administración de parches y registro meticuloso”.