Les pirates s’attaquent désormais à la bande passante internet de leurs victimes

Sécurité : Le proxyware s’est imposé ces derniers mois comme un autre moyen de choix pour les criminels de tirer des revenus de leurs victimes… en s’attaquant à leur bande passante.

Les pirates ciblent désormais la connexion internet de leurs victimes pour générer discrètement des revenus illicites à la suite d’une infection par un logiciel malveillant. Ce mardi, des chercheurs de Cisco Talos ont déclaré que le « proxyware » commence à être remarqué dans l’écosystème de la cybercriminalité en étant détourné à des fins illégales. Les victimes de ces attaques ? Des utilisateurs d’applications de partage d’internet, des services légitimes permettant de partager une partie de leur connexion internet pour d’autres appareils, et pouvant également inclure des pare-feu et des programmes antivirus.

D’autres applications permettent aux utilisateurs d’« héberger » une connexion internet de type hotspot, ce qui leur rapporte de l’argent chaque fois qu’un utilisateur s’y connecte. C’est ce format, fourni par des services légitimes tels que Honeygain, PacketStream et Nanowire, qui est utilisé pour générer des revenus passifs pour le compte de cyberattaquants et de développeurs de logiciels malveillants.

Selon les chercheurs de Cisco Talos, les proxywares sont utilisés de la même manière que les logiciels légitimes de minage de cryptomonnaies : ils sont installés discrètement, soit en tant que composant secondaire, soit en tant que charge utile principale. Des efforts sont également déployés pour empêcher la victime de remarquer leur présence, notamment par le contrôle de l’utilisation des ressources. Dans les cas documentés par Cisco Talos, le proxyware est inclus dans des attaques en plusieurs étapes. La chaîne d’attaque commence par un logiciel légitime, accompagné d’un installateur troyen contenant du code malveillant.

Différentes méthodes exploitées

Lorsque le logiciel est installé, le malware est exécuté. Une campagne de cyberattaques a ainsi utilisé un paquet Honeygain légitime et signé, corrigé pour déposer également des fichiers malveillants distincts contenant un mineur de cryptomonnaie XMRig et pour rediriger la victime vers une page de renvoi liée aux codes de référence Honeygain. Une fois que la victime a ouvert un compte, le code de parrainage génère des revenus pour l’attaquant, alors qu’un mineur de cryptomonnaies vole également les ressources de l’ordinateur.

Ce n’est toutefois pas la seule méthode utilisée par les pirates pour générer de l’argent. Dans une campagne distincte, une famille de logiciels malveillants a été identifiée, qui tente d’installer Honeygain sur le PC d’une victime et enregistre le logiciel sous le compte d’un attaquant, et ainsi, tous les gains sont envoyés au fraudeur. « Bien que Honeygain limite le nombre d’appareils fonctionnant sous un seul compte, rien n’empêche un attaquant d’enregistrer plusieurs comptes Honeygain afin d’étendre son opération en fonction du nombre de systèmes infectés qu’il contrôle », expliquent les chercheurs.

Une autre variante a exploité plusieurs voies, regroupant non seulement un logiciel de proxyware, mais aussi un mineur de cryptomonnaies et un voleur d’informations pour le vol d’identifiants et d’autres données précieuses. « Il s’agit d’une tendance récente, mais le potentiel de croissance est énorme », indiquent les chercheurs de Cisco Talos. « Nous constatons déjà de sérieux abus de la part d’acteurs de la menace qui risquent de gagner beaucoup d’argent avec ces attaques. Ces plateformes posent également de nouveaux défis aux chercheurs, puisqu’il n’y a aucun moyen d’identifier une connexion via ce type de réseaux – l’IP d’origine devient encore moins significative dans une enquête. »

Source : ZDNet.com

Catégories