Proxyware és „proxyjacking” – új szintre lép a sávszélesség alapú kiberbűnözés

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe
Beküldte kami911 -

Az AhnLab Security Intelligence Center (ASEC) legfrissebb jelentése szerint dél-koreai felhasználók körében újra aktivizálódtak azok a kampányok, amelyek célja a proxyware típusú kártevők terjesztése megtévesztő hirdetéseken keresztül. Ezek az eszközök nem a hagyományos értelemben vett vírusok, hanem erőforrás-kihasználó szoftverek, amelyek engedély nélküli sávszélesség-megosztásra épülnek, jelentős bevételt termelve a támadók számára.

Mi az a proxyjacking?

A proxyjacking a kriptobányászathoz (cryptojacking) hasonló modell: míg utóbbi a számítógép processzorát használja titokban kriptovaluta bányászatra, addig a proxyjacking a felhasználó hálózati sávszélességét értékesíti harmadik feleknek a tulajdonos tudta vagy beleegyezése nélkül.

A szoftverek, mint a DigitalPulse vagy a Honeygain, alapvetően legális alkalmazások, amelyek lehetővé teszik, hogy a felhasználók pénzért cserébe megosszák internetkapcsolatukat. Ugyanakkor, amikor ezeket a szoftvereket illegálisan, titokban telepítik, a haszon a támadók zsebébe kerül, a felhasználó pedig gyakorlatilag fizet azért, hogy a hálózati erőforrásait kizsákmányolják.

A támadások háttere és technikai megvalósítása

Az ASEC korábbi és jelenlegi megfigyelései alapján a támadók jól kidolgozott módszerekkel terjesztik a proxyware kártevőket, különösen YouTube letöltőoldalakat használva csaliként. A gyanútlan felhasználó egy videó URL-t ad meg, majd egy „Download Now” gombra kattint, amely vagy reklámoldalra viszi, vagy közvetlenül egy fertőzött fájlt tölt le a rendszerére.

A kampány különösen kifinomult, mivel:

  • GitHub-repozitóriumokat használnak a terjesztéshez, megbízható forrásnak álcázva magukat.
  • A letöltött fájlok például „QuickScreenRecorder[.]exe” néven futnak.
  • A fájl egy PowerShell scriptet hajt végre, amely elsőként sandbox-ellenőrzést és virtualizáció-detektálást végez.
  • Ezt követően telepíti a szükséges komponenseket (NodeJS, JavaScript kód, időzített feladatok stb.).
  • A feladatok például „DefragDiskCleanup” néven jelennek meg, így rejtve maradnak a felhasználó előtt.

Telepített komponensek és működés

A kártevők moduláris felépítésűek:

  • A PowerShell script kezeli a letöltéseket és a telepítést.
  • Kommunikációt folytat egy C&C (Command and Control) szerverrel, amely visszaküldi az utasításokat és szükséges fájlokat (pl. tömörített Honeygain csomagokat).
  • A végső cél: a rendszerre kerül a Honeygain “hgsdk[.]dll” fájlja, amelyet egy „FastCleanPlus[.]exe” nevű launcher futtat.
  • A DLL hívja meg a hgsdk_start() függvényt, az elkövető API-kulcsával, elindítva a sávszélesség-megosztást – immár az áldozat erőforrásainak rovására.

Előzmények és jelenlegi aktivitás

Nem ez az első proxyjacking kampány:

  • 2023-ban a LevelBlue több mint 400 000 fertőzött Windows rendszert azonosított, amelyeket a DigitalPulse révén fertőztek meg.
  • A jelenlegi kampány ugyanazokat a mintákat követi, de újabb variánsokat is bevon (pl. Honeygain integráció).
  • Az aktivitás továbbra is kiemelten Dél-Koreára koncentrálódik, de a módszerek globálisan alkalmazhatók.

Kockázatok és felismerési jelek

A proxyjacking nemcsak az internetkapcsolatot lassíthatja, de személyes adatokat is továbbíthat a támadók szerverei felé. Emellett megnöveli az adatforgalmat, ami különösen problémás lehet mobilinternet vagy korlátos előfizetés esetén.

Megelőzés és védekezési lehetőségek

Felhasználói szinten:

  • Kerüljük az ismeretlen letöltőoldalakat különösen azokat, amelyek hirdetésekkel és felugró ablakokkal tűzdeltek.
  • Soha ne töltsünk le YouTube-letöltőt vagy képernyőfelvevőt ismeretlen forrásból.
  • Használjunk naprakész végpontvédelmet.
  • Ellenőrizzük a feladatütemezőt: ismeretlen nevű (pl. „DefragDiskCleanup”) feladatok gyanúsak lehetnek.

Szervezeti szinten:

  • Rendszeres IoC-monitorozás és összehasonlítás más threat intel adatbázisokkal.
  • Proxyhasználat és sávszélesség-elemzés az anomáliák kiszűrésére.
  • Alkalmazottak oktatása a letöltések és „ingyenes eszközök” veszélyeiről.

A proxyware alapú támadások új generációja jól mutatja, hogyan térnek át a kiberbűnözők a hagyományos pénzügyi csalásokról az erőforrás alapú kizsákmányolásra. A sávszélesség pénzzé tétele engedély nélküli eszközök telepítésével nemcsak technikai, hanem jogi és adatvédelmi aggályokat is felvet.

A tudatosság, a forrásellenőrzés és a proaktív védelem a leghatékonyabb módja annak, hogy ne váljunk részeseivé egy rejtett proxyhálózatnak.

(forrás, forrás)