Recentemente, foi relatado que os atores da ameaça estão descobrindo novos métodos para monetizar seus ataques, explorando serviços de compartilhamento de Internet ou plataformas de “proxyware” como Honeygain, Nanowire e muitas outras.
A monetização das suas próprias campanhas de malware trouxe desafios incomuns para diferentes organizações, especialmente para aquelas cujo acesso à Internet é considerado privado.
No entanto, não podemos dizer que aqueles que são públicos estão livres deste malware, bem, o relatório afirma que qualquer organização pode estar em perigo, uma vez que existem muitas plataformas que permitem a partilha de Internet baseada em centros de dados.
Proxyware
As plataformas Proxyware geralmente permitem que os usuários vendam sua largura de banda de Internet não utilizada, e isso pode ser feito executando um aplicativo cliente.
Porém, a aplicação cliente é responsável por inserir seu sistema em uma rede, que está sendo operada pelos provedores da plataforma. Depois que os provedores entram no sistema, eles vendem o acesso a essa rede e encaminham o tráfego dos clientes.
E tudo isso é feito via rede, possibilitando que seus clientes acessem a internet utilizando a largura de banda e as conexões de internet que foram fornecidas pelas juntas da rede.
Existem muitas plataformas de proxyware que surgiram recentemente neste ano, e entre elas estão as mais populares: –
- Ganho de mel
- Peões IPRoyal
- Nanofio
- Peer2Profit
- PacketStream
Campanhas
De acordo com a investigação relatório No Cisco Talos, os agentes de ameaças usaram vários métodos para aumentar a eficácia de seus ataques de malware.
Além disso, durante a investigação, eles tomaram conhecimento de várias famílias de malware, que estavam sendo distribuídas sob o disfarce de instaladores legítimos de aplicativos como o Honeygain.
Além disso, o malware tenta aproveitar os recursos da CPU das vítimas para minerar criptomoedas, e não apenas isso, mas os atores da ameaça também estão monetizando a largura de banda de sua rede usando aplicativos de proxyware.
Instaladores Trojanizados
Os instaladores trojanizados são o método mais comum usado pelos agentes da ameaça durante esta campanha, e os pesquisadores observaram que os agentes da ameaça usaram os instaladores legítimos como programas chamariz e também incluíram outros componentes maliciosos.
No entanto, nessas campanhas, os agentes da ameaça espalham executáveis maliciosos que fingem ser um instalador de aplicativos proxyware legítimos, como o Honeygain.
Monetização de múltiplas cargas
Embora os analistas da Cisco Talos também tenham notado que os atores da ameaça estão usando vários métodos durante esta campanha para realizar o processo de monetização.
Porém, há algumas etapas que estão relacionadas ao processo de monetização, e aqui as mencionamos abaixo: –
- Estágio 1: Carregador inicial
- Estágio 2A: conta-gotas do minerador de criptomoeda XMRig
- Estágio 2B: Ladrão de informações
- Estágio 2C: Carregador Honeygain e Nanowire
Além disso, eles detectaram malware que foi usado para instalar o Honeygain em sistemas infectados e registrar o cliente junto com a conta Honeygain do adversário, pois lucrará com a largura de banda da Internet da vítima.
Portanto, isso implica que o autor da ameaça pode se inscrever em diferentes contas Honeygain, pois ajuda a dimensionar sua operação com base no número de sistemas infectados sob seu controle.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.