Tehdit aktörleri, cihazları çevrimiçi proxy hizmetleri aracılığıyla kiralanan proxy’lere dönüştürmek için reklam yazılımı paketleri, kötü amaçlı yazılımlar kullanarak ve hatta Microsoft SQL sunucularını hackleyerek gelir elde ediyor.
Bir cihazın bant genişliğini çalmak için, tehdit aktörleri, bir cihazın mevcut internet bant genişliğini, uzak kullanıcıların test, istihbarat toplama, içerik dağıtımı veya pazar araştırması gibi çeşitli görevler için kullanabileceği bir proxy sunucusu olarak tahsis eden ‘proxyware’ adı verilen yazılımı yükler.
Bot kullanıcıları, çevrimiçi perakendecilerden kara listeye alınmamış konut IP adreslerine erişim elde ettikleri için bu proxy hizmetlerini de severler.
Cihaz sahibi, bant genişliğini paylaşmanın karşılığında müşterilerden alınan ücretlerden bir gelir payı alır. Örneğin, Peer2Profit hizmeti, kullanıcıların şirketin yazılımını binlerce cihaza yükleyerek ayda 6.000 ABD dolarına kadar kazandığını gösteriyor.
Güney Koreli Ahnlab şirketindeki araştırmacılar tarafından bugün yayınlanan yeni bir rapora göre, kurbanlarının ağ bant genişliğini paylaşmaktan para kazanmak için proxy yazılımı yükleyen yeni kötü amaçlı yazılım kampanyaları ortaya çıktı.
Saldırganlar, kullanıcı için e-posta adreslerini ayarlayarak bant genişliği için tazminat alırken, kurbanlar yalnızca bazı bağlantı yavaşlamalarını ve hıçkırıklarını fark edebilir.
Cihazlarda gizli proxy istemcileri
Ahnlab, reklam yazılımı paketleri ve diğer kötü amaçlı yazılım türleri aracılığıyla Peer2Profit ve IPRoyal gibi hizmetler için proxy yazılımı yüklemesini gözlemledi.
Kötü amaçlı yazılım, proxy istemcisinin ana bilgisayarda çalışıp çalışmadığını kontrol eder ve devre dışı bırakılmışsa başlatmak için “p2p_start()” işlevini kullanabilir.
IPRoyal’s Pawns durumunda, amaç işlemin arka planda gizlice çalışmasını sağlamak olduğundan, kötü amaçlı yazılım GUI yerine istemcinin CLI sürümünü yüklemeyi tercih eder.
Daha yakın tarihli gözlemlerde, saldırganlar Pawns’ı DLL biçiminde kullandılar ve e-postalarını ve parolalarını kodlanmış dize biçiminde sağladılar ve “Initialize()” ve “startMainRoutine()” işlevleriyle başlattılar.
Proxy yazılımı bir aygıta yüklendikten sonra, yazılım onu uzaktaki kullanıcıların İnternette istedikleri herhangi bir görev için kullanabilecekleri uygun bir proxy olarak ekler.
Ne yazık ki, bu aynı zamanda diğer tehdit aktörlerinin bu vekilleri kurbanın haberi olmadan yasa dışı faaliyetler için kullanabileceği anlamına gelir.
MS-SQL sunucularına da bulaşma
Ahnlab’ın raporuna göre, bu planı gelir elde etmek için kullanan kötü amaçlı yazılım operatörleri, Peer2Profit istemcilerini kurmak için savunmasız MS-SQL sunucularını da hedefliyor.
Bu, 2022 Haziran’ının başından beri devam ediyor ve virüslü sistemlerden alınan çoğu günlük, “sdk.mdf” adlı UPX paketli bir veritabanı dosyasının varlığını ortaya koyuyor.
Microsoft SQL sunucuları için daha yaygın tehditler arasında, kripto hırsızlığı gerçekleştiren kripto para madeni para madencileri bulunur. Tehdit aktörünün sunucuyu Kobalt Strike işaretçileri aracılığıyla ağa dönüş noktası olarak kullandığı birçok örnek de vardır.
Proxyware istemcilerinin kullanılmasının ardındaki neden, büyük olasılıkla, daha önemli karlara dönüşen uzun süreler boyunca tespit edilmeme şansının artmasıdır. Ancak aktörlerin bu yöntemle ne kadar para kazandığı belli değil.
Ayrıca, Microsoft SQL sunucuları genellikle, proxy hizmetlerinin yasa dışı amaçlarla satabileceği, bol İnternet bant genişliğine sahip kurumsal ağlarda veya veri merkezlerinde bulunur.