Des chercheurs en s\u00e9curit\u00e9 ont d\u00e9couvert une activit\u00e9 de piratage dans laquelle des acteurs de la menace piratent des serveurs Microsoft SQL afin de voler de la bande passante pour des services proxy. Les hackers convertissent les dispositifs en proxy qui sont lou\u00e9s via des services proxys en ligne.<\/p>\n\n\n\n
Les acteurs de la menace volent la bande passante des appareils en installant un logiciel connu sous le nom de \u00ab\u00a0proxyware\u00a0\u00bb. Celui-ci utilise la bande passante Internet disponible de l’appareil comme serveur proxy. Il permet aux utilisateurs d’utiliser le serveur proxy pour diff\u00e9rentes t\u00e2ches, telles que des \u00e9tudes de march\u00e9, la distribution de contenu, la collecte de renseignements et des tests. Ces actions peuvent \u00eatre effectu\u00e9es \u00e0 distance gr\u00e2ce aux fonctionnalit\u00e9s du proxy.<\/p>\n\n\n\n
En outre, ces proxys sont \u00e9galement utilis\u00e9s par les utilisateurs de bot car ils leur permettent d’avoir acc\u00e8s \u00e0 des adresses IP r\u00e9sidentielles qui n’ont pas \u00e9t\u00e9 mises sur liste noire par les d\u00e9taillants en ligne.<\/p>\n\n\n\n
De plus en plus de campagnes de logiciels malveillants installent d\u00e9sormais un proxyware<\/strong><\/p>\n\n\n\n Une fois que les propri\u00e9taires de l’appareil ont partag\u00e9 leur bande passante avec les utilisateurs distants, ils ont la possibilit\u00e9 de partager les revenus provenant des frais factur\u00e9s aux clients. Par exemple, certains utilisateurs gagnent environ 6 000 dollars par mois gr\u00e2ce \u00e0 Peer2Profit, simplement en installant le logiciel de la soci\u00e9t\u00e9 sur des milliers d’appareils.<\/p>\n\n\n\n Des chercheurs de l’entreprise de s\u00e9curit\u00e9 Sud-Cor\u00e9enne Ahnlab ont publi\u00e9 un rapport montrant qu’il existe un nombre croissant de campagnes de logiciels malveillants qui installent des logiciels proxy. Ces groupes installent le proxyware et gagnent de l’argent lorsqu’ils partagent la bande passante du r\u00e9seau de leur victime.<\/p>\n\n\n\n Les acteurs de la menace tirent profit de leur acte de partage de la bande passante en d\u00e9finissant leur adresse \u00e9lectronique pour l’utilisateur. Pendant que le partage est en cours, la victime peut seulement remarquer un l\u00e9ger dysfonctionnement et quelques ralentissements de la connectivit\u00e9.<\/p>\n\n\n\n Au cours de leur recherche, les chercheurs d’Ahnlab ont compris comment le logiciel de service proxy a \u00e9t\u00e9 install\u00e9 sur IPRoyal et PeerProfit par le biais de paquets de logiciels publicitaires et d’autres souches de logiciels malveillants. Selon ces chercheurs, le logiciel malveillant poss\u00e8de certaines capacit\u00e9s, notamment celle de d\u00e9couvrir si le client proxy fonctionne sur l’h\u00f4te. Apr\u00e8s sa v\u00e9rification, il peut se lancer avec la fonction \u00ab\u00a0p2p-star()\u00a0\u00bb s’il est d\u00e9sactiv\u00e9.<\/p>\n\n\n\n De plus, le logiciel malveillant est capable d’installer la version CLI du client plut\u00f4t que le mod\u00e8le GUI dans le cas de IPRoyal Pawns. L’objectif est ici de permettre l’ex\u00e9cution fluide et furtive du processus en arri\u00e8re-plan sans \u00eatre d\u00e9tect\u00e9e.<\/p>\n\n\n\n Les hackers peuvent utiliser la bande passante pour des activit\u00e9s ill\u00e9gales<\/strong><\/p>\n\n\n\n D’apr\u00e8s une observation r\u00e9cente, les acteurs de la menace ont utilis\u00e9 Pawns au format DLL et ont utilis\u00e9 leurs emails et mots de passe au format cha\u00eene cod\u00e9e. Cela leur a permis de le lancer avec les fonctions \u00ab\u00a0startMainRoutine() \u00ab\u00a0et \u00ab\u00a0Initialize()\u00a0\u00bb.<\/p>\n\n\n\n Apr\u00e8s avoir install\u00e9 avec succ\u00e8s le proxyware sur le dispositif, le logiciel l’inclut comme un proxy disponible pour tout type de t\u00e2ches que les utilisateurs veulent sur Internet. Malheureusement, les autres hackers ont \u00e9galement acc\u00e8s \u00e0 ces proxys. Ils peuvent \u00eatre utilis\u00e9s pour des activit\u00e9s ill\u00e9gales, \u00e0 l’insu de la victime.<\/p>\n\n\n\n Le rapport d’Ahnlab indique que les acteurs de la menace exploitant le logiciel malveillant g\u00e9n\u00e8rent des revenus gr\u00e2ce \u00e0 ce syst\u00e8me. Ils ont \u00e9galement \u00e9t\u00e9 d\u00e9couverts en train de cibler des serveurs MS-SQL pour installer des clientsPeer2Profit.<\/p>\n\n\n\n Le rapport montre que l’activit\u00e9 est en cours depuis juin 2022. Les journaux des syst\u00e8mes compromis r\u00e9v\u00e8lent \u00e9galement l’existence de \u00ab\u00a0sdk.mdf\u00a0\u00bb, un fichier de base de donn\u00e9es rempli par UPX, sur les syst\u00e8mes infect\u00e9s.<\/p>\n\n\n\n