Proxyware, встроенное во вредоносное ПО – новый тренд у хакеров

Proxyware, встроенное во вредоносное ПО – новый тренд у хакеров

Злоумышленники незаметно похищают часть интернет-соединения у ничего не подозревающих жертв.

image

Согласно новому отчету , опубликованному исследователями из южнокорейской компании Ahnlab , все чаще стали появляться новые вредоносные кампании, в которых используется proxyware – программы, делающие из устройства жертвы доступный прокси-сервер, доступный всем пользователям в интернете. За каждую жертву злоумышленник получает деньги от сервиса, создавшего proxyware.

Сейчас злоумышленники интегрируют proxyware в свое вредоносное ПО, чтобы дополнительно заработать на своих жертвах, продавая их интернет-подключение. Жертвы, в свою очередь, могут даже не заметить атаку, иногда сталкиваясь с небольшими задержками интернет-соединения.

Исследователи Ahnlab обнаружили, что proxyware от Peer2Profit и IPRoyal устанавливается на устройства жертвы вместе с рекламным ПО и другими вредоносными программами. Оказавшись в системе, proxyware проверяет, запущен ли прокси-клиент на хосте. Если нет, то запускает его с помощью “p2p_start()”. В случае с ПО Pawns от IPRoyal, вредоносная программа устанавливает CLI-версию прокси-клиента, а не GUI-версию, чтобы оставаться максимально незаметной. Кроме того, позже был обнаружен Pawns в виде DLL, который запускался с помощью функций "Initialize()" и "startMainRoutine()".

Согласно отчету Ahnlab, операторы вредоносного ПО, использующие proxyware, вшитое во вредоносное ПО, атакуют уязвимые SQL-серверы Microsoft , устанавливая на них клиенты Peer2Profit.

По словам специалистов, атаки происходят с начала июня 2022 года, при этом в большинстве зараженных систем обнаруживается один и тот же UPX-пакет под названием “sdk.mdf”.


Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!