Antaño llamado proxyware (por Cisco Talos en 2021) o proxyjacking, este proceso consiste en pagar a un usuario para poder utilizar parte del ancho de banda no utilizado. Una técnica aún más rentable si se realiza en la red de la empresa, pero completamente ilegal y peligrosa. Si el concepto no es nuevo, “la posibilidad de monetizarlo fácilmente a través de afiliados de grupos conocidos sí lo es”, subraya un informe de Akamai. “Dado que proporciona una manera fácil de ganar dinero, este vector representa una amenaza para el mundo empresarial, así como para el público en general, de ahí la necesidad de aumentar la conciencia sobre este problema y, con suerte, su mitigación”, añade el especialista de CDN.

Índice
  1. Varias campañas detectadas
  2. Proxyjacking a través de contenedores Docker

Varias campañas detectadas

En varias campañas que el equipo de Akamai investigó recientemente, los atacantes utilizaron credenciales SSH comprometidas para implementar una serie de scripts que convertían servidores en clientes proxy en las redes Peer2Profit y Honeygain. Estos dos servicios, presentados como herramientas de ingresos pasivos, permiten a los usuarios compartir su ancho de banda no utilizado y su dirección IP como parte de una red compartida de servidores proxy, una red que luego utilizan las empresas que pagan para la recopilación de datos, la publicidad y otras actividades.

Para estos servicios voluntarios, las personas deben instalar una aplicación cliente en su computadora o teléfono móvil. "La situación es completamente diferente si una aplicación se implementa sin el conocimiento o consentimiento del usuario y se utiliza para explotar sus recursos", dijeron los investigadores de Akamai. “Es entonces cuando el uso aparentemente inofensivo de estos servicios se convierte en un delito cibernético. Al apoderarse de múltiples sistemas y su ancho de banda, el atacante aumenta efectivamente las ganancias potenciales que puede obtener del servicio, a expensas de las víctimas”, agregaron. En concepto, este ataque se acerca al cryptojacking, que consiste en utilizar los recursos informáticos de una máquina para extraer criptomonedas sin el conocimiento o consentimiento del propietario del sistema.

Proxyjacking a través de contenedores Docker

En los ataques que Akamai observó a través de sus honeypots, los atacantes primero se conectaron a través de SSH y ejecutaron un script Bash codificado en Base64. El objetivo de este script es conectarse a un servidor controlado por un atacante y descargar un archivo llamado csdark.css. Sin embargo, este archivo es una versión compilada de curl, una herramienta de línea de comandos de Linux ampliamente utilizada para descargar archivos. Ningún motor antivirus de VirusTotal detecta el ejecutable porque es una versión legítima y no modificada de curl, que probablemente esté incluida en la lista blanca de las herramientas del sistema. Una vez que curl se implementa en el sistema, el script Bash cambia el directorio de trabajo a un directorio temporal, generalmente escribible y ejecutable por todos los usuarios, como /dev/shm O /tmp. Luego procede a descargar una imagen de contenedor Docker precargada y preconfigurada con clientes Peer2Profit o Honeygain, junto con el ID de afiliado del atacante en las redes, para que los sistemas secuestrados queden registrados bajo su cuenta.

Antes de implementar la imagen del contenedor Docker descargada como postfijoel script comprueba si se están ejecutando otros contenedores de la competencia, posiblemente implementados por otros atacantes, y detiene los que encuentra. Postfix es un popular agente de transferencia de correo electrónico en Linux. Por lo tanto, los atacantes eligieron este nombre seguido de d (daemon) para que su contenedor sea menos visible en la lista de procesos del sistema. Peer2Profit y Honeygain proporcionan imágenes públicas de Docker para sus clientes y, con más de un millón de descargas, son bastante populares, por lo que los atacantes no tuvieron que hacer mucho para configurar el entorno y las herramientas. Parece que el servidor web donde los atacantes alojan su ejecutable curl renombrado ha sido pirateado y contiene una herramienta de criptominería. Por lo tanto, es probable que los atacantes detrás de estas campañas de proxyjacking también participen en cryptojacking. "En esta campaña en particular, se utilizó SSH para acceder a un servidor e instalar un contenedor Docker, pero en campañas anteriores, los piratas informáticos también explotaron vulnerabilidades web", dijeron los investigadores de Akamai. "Si, después de verificar la ejecución de los servicios locales de Docker, el equipo de TI encuentra recursos compartidos no deseados en un sistema, deben investigar la intrusión, determinar cómo se descargó y ejecutó el script y realizar una limpieza completa", recomendaron los investigadores.