Hackers estão lucrando com endereços IP sequestrados

Invasores online estão roubando endereços IP e os convertendo em dinheiro, vendendo-os para os chamados serviços de proxyware.

Continua após a publicidade

Atores mal-intencionados estão implantando proxyware em computadores sem o conhecimento do proprietário e, em seguida, vendendo o endereço IP da unidade para um serviço de proxyware, ganhando até US$ 10 por mês para cada dispositivo comprometido, informou a equipe de pesquisa de ameaças da Sysdig na terça-feira.

Os serviços de proxyware permitem que um usuário ganhe dinheiro compartilhando sua conexão de internet com outras pessoas, explicaram os pesquisadores em um blog da empresa. Os invasores, no entanto, estão aproveitando as plataformas para monetizar a largura de banda da Internet das vítimas, semelhante à forma como a mineração maliciosa de criptomoeda tenta monetizar os ciclos de CPU dos sistemas infectados.

“Os serviços de proxyware são legítimos, mas atendem a pessoas que desejam contornar proteções e restrições”, observou Michael Clark, diretor de pesquisa de ameaças da Sysdig , fabricante de uma plataforma SaaS com sede em San Francisco para detecção e resposta a ameaças.

“Eles usam endereços residenciais para contornar a proteção de bot”, disse ele ao TechNewsWorld.

Por exemplo, comprar muito de uma marca de tênis pode ser muito lucrativo, mas os sites colocam proteções para limitar a venda a um único par para um endereço IP, explicou. Eles usam esses endereços IP de proxy para comprar e revender o maior número possível de pares.

“Os sites também confiam mais em endereços IP residenciais do que em outros tipos de endereços”, acrescentou. “É por isso que há um prêmio em endereços residenciais, mas serviços em nuvem e telefones celulares também estão começando a ser desejáveis para esses serviços.”

Alimentos para influenciadores

Esses aplicativos são frequentemente promovidos por meio de programas de referência, com muitos “influenciadores” notáveis promovendo-os para oportunidades de renda passiva, disse Immanuel Chavoya, gerente sênior de segurança de produtos da SonicWall , fabricante de firewall de rede em Milpitas, Califórnia.

“Os que buscam renda baixam o software para compartilhar sua largura de banda e ganhar dinheiro”, disse ele ao TechNewsWorld.

“No entanto”, continuou ele, “esses serviços de proxyware podem expor os usuários a níveis desproporcionais de riscos, pois os usuários não podem controlar as atividades realizadas usando seus endereços IP domésticos e móveis”.

“Houve casos de usuários ou sua infraestrutura involuntariamente envolvidos em atividades criminosas”, acrescentou.

Tal atividade inclui acesso a possíveis sites fraudulentos de cliques ou anúncios silenciosos, sondagem de injeção de SQL, tentativas de acessar o arquivo crítico /etc/passwd em sistemas Linux e Unix (que rastreia usuários registrados com acesso a um sistema), rastreamento de sites do governo, rastreamento de informações de identificação pessoal – incluindo identidades nacionais e números de seguridade social – e registro em massa de contas de mídia social.

Cuidado com as organizações

Timothy Morris, consultor-chefe de segurança da Tanium , fabricante de uma plataforma de segurança e gerenciamento de endpoints em Kirkland, Washington, apontou que os serviços de proxyware podem ser usados para gerar tráfego na web ou manipular resultados de pesquisa na web.

“Alguns clientes de proxy virão com ‘conteúdo de bônus’ que pode ser ‘trojanizado’ ou malicioso, fornecendo uso não autorizado do computador executando o serviço de proxy, normalmente para mineração de criptografia”, disse ele ao TechNewsWorld.

As organizações infestadas com proxyware podem ver seus custos de gerenciamento de plataforma de nuvem aumentar e ver a degradação do serviço, observou Crystal Morin, engenheiro de pesquisa de ameaças da Sysdig.

“E só porque há um invasor fazendo mineração de criptografia ou proxyjacking em sua rede, isso não significa que é tudo o que eles estão fazendo”, disse ela ao TechNewsWorld.

“Há uma preocupação de que, se eles estiverem usando o Log4j ou qualquer outra vulnerabilidade e tiverem acesso à sua rede”, ela continuou, “eles podem estar fazendo algo além de usar o sistema para obter lucro, então você deve tomar precauções e procurar outra atividade maliciosa.”

Clark acrescentou que uma organização também pode enfrentar alguns riscos de reputação devido ao proxyjacking.

“Pode haver atividade ilegal acontecendo que pode ser atribuída a uma empresa ou organização cujo IP foi obtido, e eles podem acabar em uma lista de negação de serviços de inteligência de ameaças, o que pode levar a uma série de problemas se as pessoas pararem de liberar o conexões de internet da vítima”, disse ele.

“Também há possíveis investigações de aplicação da lei que podem ocorrer”, observou ele.

Ele acrescentou que a atividade de proxyjacking descoberta pelos pesquisadores do Sysdig era voltada para organizações. “Os invasores lançam uma ampla rede em toda a Internet e na infraestrutura de nuvem direcionada”, disse ele.

“Normalmente”, continuou ele, “vemos esse tipo de ataque agrupado no adware do Windows. Desta vez, estamos vendo redes e servidores em nuvem direcionados, o que é mais voltado para os negócios.”

Vulnerabilidade do Log4j explorada

Os invasores estudados pelos pesquisadores do Sysdig exploraram a vulnerabilidade Log4j para comprometer seus alvos. Estima-se que essa falha em um popular utilitário de registro baseado em Java de código aberto descoberto em 2021 tenha afetado 93% de todos os ambientes de nuvem corporativos.

“Milhões de sistemas ainda estão rodando com versões vulneráveis do Log4j e, de acordo com o Censys, mais de 23.000 deles podem ser acessados pela Internet”, escreveram os pesquisadores.

“O Log4j não é o único vetor de ataque para a implantação de malware de proxyjacking, mas essa vulnerabilidade sozinha poderia, teoricamente, fornecer mais de US$ 220.000 em lucro por mês”, acrescentaram. “Mais conservadoramente, um compromisso modesto de 100 IPs renderá uma renda passiva de quase US$ 1.000 por mês.”

Embora não deva ser um problema, ainda há uma “cauda longa” de sistemas vulneráveis à vulnerabilidade Log4J que não foi corrigida, observou Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, um provedor de SaaS para empresas cibernéticas . correção de riscos em Tel Aviv, Israel.

“O número de sistemas vulneráveis continua diminuindo, mas ainda vai demorar um pouco até chegar a zero – seja de todos os sistemas restantes sendo corrigidos ou dos restantes sendo encontrados e explorados”, disse ele ao TechNewsWorld.

“A vulnerabilidade está sendo explorada ativamente”, acrescentou Morris. “Também há relatos de versões vulneráveis ainda sendo baixadas.”

Proteger através da detecção

Para se proteger do proxyjacking, Morin recomendou uma detecção de ameaças forte e contínua em tempo real.

“Ao contrário do cryptojacking, onde você verá picos no uso da CPU, o uso da CPU é mínimo aqui”, explicou ela. “Portanto, a melhor maneira de detectar isso é por meio da análise de detecção, em que você procura os aspectos da cadeia de eliminação do ataque – acesso inicial, exploração de vulnerabilidade, evasão de detecção, persistência”.

Chavoya aconselhou as organizações a criar regras granulares por meio de listas brancas de aplicativos para quais tipos de aplicativos são permitidos em dispositivos de usuário final.

A lista branca envolve a criação de uma lista de aplicativos aprovados que podem ser executados em dispositivos dentro da rede da organização e o bloqueio da execução de qualquer outro aplicativo.

“Esta pode ser uma maneira altamente eficaz de impedir que proxyware e outros tipos de malware sejam executados em dispositivos dentro da rede de uma organização”, disse Chavoya.

“Ao criar regras granulares para quais tipos de aplicativos são permitidos em dispositivos de usuário final, as organizações podem garantir que apenas os aplicativos autorizados e necessários tenham permissão para serem executados”, continuou ele.