Los asaltantes en línea están robando direcciones IP y convirtiéndolas en efectivo vendiéndolas a los llamados servicios de proxyware.
Actores maliciosos instalan software proxy en las computadoras sin el conocimiento del propietario y luego venden la dirección IP de la unidad a un servicio de software proxy, ganando hasta US$10 al mes por cada dispositivo comprometido, informó el martes el equipo de investigación de amenazas de Sysdig.
Los servicios de proxyware permiten que un usuario gane dinero al compartir su conexión a Internet con otros, explicaron los investigadores en un blog de la empresa. Los atacantes, sin embargo, están aprovechando las plataformas para monetizar el ancho de banda de Internet de las víctimas, de forma similar a cómo la minería de criptomonedas maliciosa intenta monetizar los ciclos de CPU de los sistemas infectados.
“Los servicios de proxyware son legítimos, pero atienden a las personas que desean eludir las protecciones y restricciones”, observó Michael Clark, director de investigación de amenazas de Sysdigun fabricante con sede en San Francisco de una plataforma SaaS para la detección y respuesta a amenazas.
“Usan direcciones residenciales para eludir la protección de bots”, dijo a TechNewsWorld.
Por ejemplo, comprar una gran cantidad de una marca de zapatillas puede ser muy rentable, pero los sitios web implementan protecciones para limitar la venta a un solo par a una dirección IP, explicó. Usan estas direcciones IP de proxy para comprar y revender tantos pares como sea posible.
“Los sitios también confían más en las direcciones IP residenciales que en otros tipos de direcciones”, agregó. “Es por eso que hay tanta prima en las direcciones residenciales, pero los servicios en la nube y los teléfonos móviles también comienzan a ser deseables para estos servicios”.
Alimentos para Influencers
Estas aplicaciones a menudo se promocionan a través de programas de referencia, con muchos «influenciadores» notables que las promocionan para oportunidades de ingresos pasivos, dijo Immanuel Chavoya, gerente senior de seguridad de productos en pared sónicaun fabricante de cortafuegos de red en Milpitas, California.
“Los buscadores de ingresos descargan el software para compartir su ancho de banda y ganar dinero”, dijo a TechNewsWorld.
“Sin embargo”, continuó, “estos servicios de proxyware pueden exponer a los usuarios a niveles desproporcionados de riesgos, ya que los usuarios no pueden controlar las actividades realizadas utilizando sus direcciones IP de casa y móviles”.
“Ha habido casos de usuarios o su infraestructura que, sin saberlo, se han involucrado en actividades delictivas”, agregó.
Dicha actividad incluye acceder a posibles sitios de publicidad silenciosa o de fraude de clics, sondeo de inyección SQL, intentos de acceder al archivo crítico /etc/passwd en sistemas Linux y Unix (que realiza un seguimiento de los usuarios registrados con acceso a un sistema), rastreo de sitios web gubernamentales, rastreo de información de identificación personal, incluidas las identificaciones nacionales y los números de seguro social, y el registro masivo de cuentas de redes sociales.
Cuidado con las organizaciones
Timothy Morris, asesor jefe de seguridad de tanioun fabricante de una plataforma de seguridad y administración de puntos finales en Kirkland, Washington, señaló que los servicios de proxyware se pueden usar para generar tráfico web o manipular los resultados de búsqueda web.
«Algunos clientes de proxy vendrán con ‘contenido adicional’ que puede ser ‘troyanizado’ o malicioso, proporcionando un uso no autorizado de la computadora que ejecuta el servicio de proxy, generalmente para criptominería», dijo a TechNewsWorld.
Las organizaciones infestadas de software proxy pueden ver cómo aumentan los costos de administración de su plataforma en la nube y cómo se degrada el servicio, señaló Crystal Morin, ingeniera de investigación de amenazas de Sysdig.
“Y solo porque hay un atacante haciendo criptominería o proxyjacking en su red, eso no significa que eso es todo lo que están haciendo”, dijo a TechNewsWorld.
“Existe la preocupación de que si están usando Log4j o cualquier otra vulnerabilidad y tienen acceso a su red”, continuó, “podrían estar haciendo algo más que usar el sistema con fines de lucro, por lo que debe tomar precauciones y buscar otra actividad maliciosa”.
Clark agregó que una organización también podría enfrentar algunos riesgos de reputación debido al proxyjacking.
“Podría haber actividad ilegal en curso que podría atribuirse a una empresa u organización cuya IP fue tomada, y podrían terminar en una lista de denegación para los servicios de inteligencia de amenazas, lo que podría generar una gran cantidad de problemas si las personas dejan de dejar caer el las conexiones a Internet de la víctima”, dijo.
“También hay posibles investigaciones policiales que podrían ocurrir”, señaló.
Agregó que la actividad de proxyjacking descubierta por los investigadores de Sysdig estaba dirigida a las organizaciones. “Los atacantes lanzaron una amplia red en todo Internet y apuntaron a la infraestructura de la nube”, dijo.
“Por lo general”, continuó, “veríamos este tipo de ataque incluido en el adware de Windows. Esta vez estamos viendo redes y servidores en la nube apuntados, que están más orientados a los negocios”.
Vulnerabilidad de Log4j explotada
Los atacantes estudiados por los investigadores de Sysdig explotaron la vulnerabilidad Log4j para comprometer sus objetivos. Se estima que esa falla en una popular utilidad de registro basada en Java de código abierto descubierta en 2021 afectó al 93% de todos los entornos de nube empresarial.
“Millones de sistemas todavía se ejecutan con versiones vulnerables de Log4j y, según Censys, se puede acceder a más de 23,000 de ellos desde Internet”, escribieron los investigadores.
“Log4j no es el único vector de ataque para implementar malware de proxyjacking, pero esta vulnerabilidad por sí sola teóricamente podría generar más de $ 220,000 en ganancias por mes”, agregaron. «De manera más conservadora, un compromiso modesto de 100 IP generará un ingreso pasivo de casi $ 1,000 por mes».
Si bien no debería ser un problema, todavía hay una «cola larga» de sistemas vulnerables a la vulnerabilidad de Log4J que no se ha parcheado, observó Mike Parkin, ingeniero técnico senior de Vulcano cibernéticoun proveedor de SaaS para la corrección de riesgos cibernéticos empresariales en Tel Aviv, Israel.
“La cantidad de sistemas vulnerables sigue disminuyendo, pero aún pasará un tiempo antes de que llegue a cero, ya sea porque todos los restantes se parchearon o los restantes se encontraron y explotaron”, dijo a TechNewsWorld.
“La vulnerabilidad se está explotando activamente”, agregó Morris. “También hay informes de versiones vulnerables que aún se están descargando”.
Proteger a través de la detección
Para protegerse del robo de proxy, Morin recomendó una detección de amenazas sólida y continua en tiempo real.
“A diferencia del cryptojacking, donde verá picos en el uso de la CPU, el uso de la CPU es bastante mínimo aquí”, explicó. “Entonces, la mejor manera de detectar esto es a través del análisis de detección, donde busca los aspectos de la cadena de eliminación del ataque: acceso inicial, explotación de vulnerabilidades, evasión de detección, persistencia”.
Chavoya aconsejó a las organizaciones que crearan reglas granulares a través de la lista blanca de aplicaciones para qué tipos de aplicaciones están permitidas en los dispositivos de los usuarios finales.
La inclusión en la lista blanca implica crear una lista de aplicaciones aprobadas que se pueden ejecutar en dispositivos dentro de la red de la organización y bloquear la ejecución de cualquier otra aplicación.
“Esta puede ser una forma muy efectiva de evitar que el software proxy y otros tipos de malware se ejecuten en dispositivos dentro de la red de una organización”, dijo Chavoya.
“Al crear reglas granulares para qué tipos de aplicaciones están permitidas en los dispositivos de los usuarios finales, las organizaciones pueden garantizar que solo las aplicaciones autorizadas y necesarias puedan ejecutarse”, continuó.
“Esto puede reducir en gran medida el riesgo de robo de proxy y otros tipos de ataques cibernéticos que dependen de aplicaciones no autorizadas que se ejecutan en los dispositivos de los usuarios finales”, concluyó.