01/08/22
Согласно новому отчету, опубликованному исследователями из южнокорейской компании Ahnlab , все чаще стали появляться новые вредоносные кампании, в которых используется proxyware – программы, делающие из устройства жертвы доступный прокси-сервер, доступный всем пользователям в интернете. За каждую жертву злоумышленник получает деньги от сервиса, создавшего proxyware.
Сейчас злоумышленники интегрируют proxyware в свое вредоносное ПО, чтобы дополнительно заработать на своих жертвах, продавая их интернет-подключение. Жертвы, в свою очередь, могут даже не заметить атаку, иногда сталкиваясь с небольшими задержками интернет-соединения. Об этом пишет Securitylab.
Исследователи Ahnlab обнаружили, что proxyware от Peer2Profit и IPRoyal устанавливается на устройства жертвы вместе с рекламным ПО и другими вредоносными программами. Оказавшись в системе, proxyware проверяет, запущен ли прокси-клиент на хосте. Если нет, то запускает его с помощью “p2p_start()”. В случае с ПО Pawns от IPRoyal, вредоносная программа устанавливает CLI-версию прокси-клиента, а не GUI-версию, чтобы оставаться максимально незаметной. Кроме того, позже был обнаружен Pawns в виде DLL, который запускался с помощью функций "Initialize()" и "startMainRoutine()".
Согласно отчету Ahnlab, операторы вредоносного ПО, использующие proxyware, вшитое во вредоносное ПО, атакуют уязвимые SQL-серверы Microsoft, устанавливая на них клиенты Peer2Profit.
По словам специалистов, атаки происходят с начала июня 2022 года, при этом в большинстве зараженных систем обнаруживается один и тот же UPX-пакет под названием “sdk.mdf”.
