Исследователи компании Akamai сообщаюто хакерах, желающих заработать на чужом трафике. Они ведут активную кампанию по взлому уязвимых SSH-серверов и подключению их к своей сети прокси-узлов.
“Это активная кампания, в которой злоумышленник использует SSH для удалённого доступа, запуская вредоносные скрипты, которые незаметно подключают серверы жертв к одноранговой (P2P) прокси-сети, такой как Peer2Profit или Honeygain”, – сообщил Аллен Вест, исследователь компании Akamai.
В отличие от криптоджекинга, при котором ресурсы заражённой системы используются для незаконной добычи криптовалюты, проксиджекинг позволяет злоумышленникам задействовать неиспользуемую пропускную способность жертвы для скрытого запуска различных сервисов в качестве P2P-узла.
Это имеет двойную выгоду – не только позволяет атакующему монетизировать дополнительный трафик со значительно меньшей нагрузкой на ресурсы жертвы, но и существенно снижает вероятность обнаружения.
Что ещё хуже, анонимность, предоставляемая прокси-сервисами, может быть мощным оружием в том смысле, что может быть злоупотреблена хакерами для сокрытия источника своих атак, маршрутизируя весь трафик через промежуточные узлы.
Специалисты Akamai, которые обнаружили данную кампанию 8 июня 2023 года, сообщили, что она направлена на взлом уязвимых SSH-серверов и развёртывание обфусцированного скрипта Bash, который, в свою очередь, способен получать необходимые зависимости с заражённого веб-сервера, включая инструмент командной строки “curl” под видом CSS-файла (“csdark.css”).
Скрытный скрипт перед запуском также активно ищет и завершает конкурирующие экземпляры подобных вредоносов, которые делятся пропускной способностью жертвы ради прибыли.
Дальнейшее исследование веб-сервера криптопреступников показало, что он также используется для размещения майнера криптовалюты, что свидетельствует о том, что злоумышленники активно занимаются как криптоджекингом, так и проксиджекингом.
Хотя программное обеспечение для обеспечения прокси-соединений само по себе не является злонамеренным, исследователи Akamai отметили, что “некоторые из этих сервисов не проверяют должным образом источник IP-адресов в сети”, что подвергает пользователей вполне реальному риску.
Представители Akamai отметили, что стандартные практики безопасности всё также остаются эффективным механизмом предотвращения зловредной деятельности. Надёжные пароли, многофакторная аутентификация, своевременные обновления и тщательное ведение системных журналов – помогут избежать компрометации или хотя бы вовремя её заметить.