Прокси-атаки: новый виток угрозы для пользователей

Центр экстренного реагирования AhnLab Security (ASEC) обнаружил новую кампанию прокси-атак, нацеленную на пользователей, скачивающих бесплатное программное обеспечение. Хакеры используют методы, которые позволяют им заразить системы жертв, подменяя законное ПО на вредоносное.
Механизм атаки
Распространяемое прокси-по подписано сертификатом Netlink Connect и связано с предыдущими атаками на прокси-серверы, включая вредоносное ПО под названием DigitalPulse. В результате атаки пользователи невольно устанавливают программу под названием AutoClicker вместе с законным приложением.
Что такое прокси-хакинг?
Прокси-хакинг — это метод, при котором злоумышленники используют интернет-трафик зараженной системы без согласия пользователя, получая при этом финансирование за использование пропускной способности. Ключевые характеристики этого метода включают:
- Заражение системы через установку вредоносного ПО.
- Использование пропускной способности системы без ведома пользователя.
- Получение финансовой выгоды за счет эксплуатации ресурсов жертв.
Исторический контекст атак
Согласно AhnLab, в 2023 году кампания LevelBlue привела к заражению более 400 000 систем Windows с использованием DigitalPulse. Новые атаки напоминают о прошлых инцидентах, когда вредоносное ПО распространялось через страницы загрузки известных программ, таких как специальные скачиватели YouTube.
Характеристики AutoClicker
AutoClicker маскируется под законное приложение, являясь на самом деле вредоносным загрузчиком. Он использует антианализ, проверяя размер файла истории веб-браузера, чтобы избежать обнаружения. После установки он запускает PowerShell для выполнения следующих действий:
- Установка NodeJS.
- Загрузка вредоносного JavaScript.
- Настройка скрипта в планировщике задач для дальнейшего выполнения команд.
Рекомендации для пользователей
Пользователям настоятельно рекомендуется проявлять осторожность при установке исполняемых файлов из подозрительных источников, таких как рекламные объявления и всплывающие окна. Компания AhnLab предлагает:
- Использовать продукты версии 3 на уже зараженных системах для предотвращения дальнейшего вредоносного воздействия.
- Избегать установки программ из ненадежных источников.
Заключение
Потенциальная угроза, связанная с DigitalPulse и аналогичными прокси-программами, может серьезно скомпрометировать системные ресурсы в целях получения финансовой выгоды, аналогично методам майнинга монет. Связь между атаками на прокси-серверы и распространением подобных программ через сайты с бесплатным программным обеспечением подчеркивает необходимость внимательности и использования мер безопасности для защиты от таких угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.



