Posté le juillet 31, 2022 à 7:01

DES HACKERS VOLENT DE LA BANDE PASSANTE POUR DES SERVICES PROXY VIA DES SERVEURS MICROSOFT SQL

Des chercheurs en sécurité ont découvert une activité de piratage dans laquelle des acteurs de la menace piratent des serveurs Microsoft SQL afin de voler de la bande passante pour des services proxy. Les hackers convertissent les dispositifs en proxy qui sont loués via des services proxys en ligne.

Les acteurs de la menace volent la bande passante des appareils en installant un logiciel connu sous le nom de « proxyware ». Celui-ci utilise la bande passante Internet disponible de l’appareil comme serveur proxy. Il permet aux utilisateurs d’utiliser le serveur proxy pour différentes tâches, telles que des études de marché, la distribution de contenu, la collecte de renseignements et des tests. Ces actions peuvent être effectuées à distance grâce aux fonctionnalités du proxy.

En outre, ces proxys sont également utilisés par les utilisateurs de bot car ils leur permettent d’avoir accès à des adresses IP résidentielles qui n’ont pas été mises sur liste noire par les détaillants en ligne.

De plus en plus de campagnes de logiciels malveillants installent désormais un proxyware

Une fois que les propriétaires de l’appareil ont partagé leur bande passante avec les utilisateurs distants, ils ont la possibilité de partager les revenus provenant des frais facturés aux clients. Par exemple, certains utilisateurs gagnent environ 6 000 dollars par mois grâce à Peer2Profit, simplement en installant le logiciel de la société sur des milliers d’appareils.

Des chercheurs de l’entreprise de sécurité Sud-Coréenne Ahnlab ont publié un rapport montrant qu’il existe un nombre croissant de campagnes de logiciels malveillants qui installent des logiciels proxy. Ces groupes installent le proxyware et gagnent de l’argent lorsqu’ils partagent la bande passante du réseau de leur victime.

Les acteurs de la menace tirent profit de leur acte de partage de la bande passante en définissant leur adresse électronique pour l’utilisateur. Pendant que le partage est en cours, la victime peut seulement remarquer un léger dysfonctionnement et quelques ralentissements de la connectivité.

Au cours de leur recherche, les chercheurs d’Ahnlab ont compris comment le logiciel de service proxy a été installé sur IPRoyal et PeerProfit par le biais de paquets de logiciels publicitaires et d’autres souches de logiciels malveillants. Selon ces chercheurs, le logiciel malveillant possède certaines capacités, notamment celle de découvrir si le client proxy fonctionne sur l’hôte. Après sa vérification, il peut se lancer avec la fonction « p2p-star() » s’il est désactivé.

De plus, le logiciel malveillant est capable d’installer la version CLI du client plutôt que le modèle GUI dans le cas de IPRoyal Pawns. L’objectif est ici de permettre l’exécution fluide et furtive du processus en arrière-plan sans être détectée.

Les hackers peuvent utiliser la bande passante pour des activités illégales

D’après une observation récente, les acteurs de la menace ont utilisé Pawns au format DLL et ont utilisé leurs emails et mots de passe au format chaîne codée. Cela leur a permis de le lancer avec les fonctions « startMainRoutine() « et « Initialize() ».

Après avoir installé avec succès le proxyware sur le dispositif, le logiciel l’inclut comme un proxy disponible pour tout type de tâches que les utilisateurs veulent sur Internet. Malheureusement, les autres hackers ont également accès à ces proxys. Ils peuvent être utilisés pour des activités illégales, à l’insu de la victime.

Le rapport d’Ahnlab indique que les acteurs de la menace exploitant le logiciel malveillant génèrent des revenus grâce à ce système. Ils ont également été découverts en train de cibler des serveurs MS-SQL pour installer des clientsPeer2Profit.

Le rapport montre que l’activité est en cours depuis juin 2022. Les journaux des systèmes compromis révèlent également l’existence de « sdk.mdf », un fichier de base de données rempli par UPX, sur les systèmes infectés.

Les mineurs de crypto-monnaies sont des cibles majeures

La plupart des acteurs de la menace qui ciblent les serveurs Microsoft SQL le font pour s’exposer aux systèmes utilisés par les mineurs de pièces de monnaie qui pratiquent le cryptojacking. Dans d’autres cas, les hackers utilisent le serveur comme point d’entrée dans le réseau par le biais des balises Cobalt Strike.

Dans plusieurs cas, les acteurs de la menace préfèrent utiliser des proxyware pour leur attaque car ils peuvent rester cachés dans les systèmes affectés pendant une longue période. Cela leur donne une meilleure chance de faire plus de profits, car plus ils y restent longtemps, plus ils auront de chances de chances de gagner plus. Cependant, on ne sait pas exactement combien d’argent les hackers gagnent avec une telle méthode.

En outre, les serveurs Microsoft SQL se trouvent généralement dans des centres de données disposant d’une large bande passante Internet ou dans des réseaux d’entreprise. Dans ces endroits, le partage de la bande passante peut durer longtemps sans que l’hôte ne remarque quoi que ce soit d’étrange. Les acteurs de la menace préfèrent également utiliser cette approche car elle leur permet de rester cachés et il est très difficile de remonter jusqu’à eux. Ils vendent la bande passante en la volant à un réseau et en la fournissant à un autre réseau. De cette façon, ils continuent à gagner de l’argent tout en percevant des redevances sur les services qu’ils volent pour les fournir.