Une campagne active à motivation financière cible les serveurs SSH vulnérables pour les piéger secrètement dans un réseau proxy.
« Il s’agit d’une campagne active dans laquelle l’attaquant exploite SSH pour l’accès à distance, en exécutant des scripts malveillants qui enrôlent furtivement les serveurs victimes dans un réseau proxy peer-to-peer (P2P), tel que Peer2Profit ou Honeygain », a déclaré Allen West, chercheur chez Akamai. a dit dans un rapport jeudi.
Contrairement au cryptojacking, dans lequel les ressources d’un système compromis sont utilisées pour exploiter illégalement la crypto-monnaie, le proxyjacking offre la possibilité aux acteurs de la menace d’exploiter la bande passante inutilisée de la victime pour exécuter secrètement différents services en tant que nœud P2P.
Cela offre un double avantage : cela permet non seulement à l’attaquant de monétiser la bande passante supplémentaire avec une charge de ressources considérablement réduite qui serait nécessaire pour effectuer le cryptojacking, mais cela réduit également les chances de découverte.
« C’est une alternative plus furtive au cryptojacking et a de sérieuses implications qui peuvent augmenter les maux de tête qui se sont procurés Attaques de couche 7 servent déjà », a déclaré West.
Pour aggraver les choses, l’anonymat fourni par les services de proxyware peut être une épée à double tranchant en ce sens qu’ils pourraient être abusés par des acteurs malveillants pour obscurcir la source de leurs attaques en acheminant le trafic via des nœuds intermédiaires.
Akamai, qui a découvert la dernière campagne le 8 juin 2023, a déclaré que l’activité est conçue pour violer des Serveurs SSH et déployer un script Bash obfusqué qui, à son tour, est équipé pour récupérer les dépendances nécessaires à partir d’un serveur Web compromis, y compris l’outil de ligne de commande curl en le camouflant en un fichier CSS (« csdark.css »).
Le script furtif recherche en outre activement et met fin aux instances concurrentes exécutant des services de partage de bande passante, avant de lancer les services Docker qui partagent la bande passante de la victime à des fins lucratives.
Un examen plus approfondi du serveur Web a révélé qu’il est également utilisé pour héberger un mineur de crypto-monnaie, ce qui suggère que les acteurs de la menace se lancent à la fois dans des attaques de cryptojacking et de proxyjacking.
Bien que le proxyware ne soit pas intrinsèquement néfaste, Akamai a noté que « certaines de ces sociétés ne vérifient pas correctement l’origine des adresses IP sur le réseau et suggèrent même parfois que les gens installent le logiciel sur leurs ordinateurs de travail ».
Mais de telles opérations transcendent le domaine de la cybercriminalité lorsque les applications sont installées à l’insu ou sans le consentement des utilisateurs, permettant ainsi à l’auteur de la menace de contrôler plusieurs systèmes et de générer des revenus illégitimes.
« Les anciennes techniques restent efficaces, en particulier lorsqu’elles sont associées à de nouveaux résultats », a déclaré West. « Les pratiques de sécurité standard restent un mécanisme de prévention efficace, notamment des mots de passe forts, la gestion des correctifs et une journalisation méticuleuse. »