Servidores Microsoft SQL pirateados para robar ancho de banda para servicios proxy

Los actores de amenazas están generando ingresos mediante el uso de paquetes de adware, malware o incluso pirateando servidores Microsoft SQL para convertir dispositivos en servidores proxy que se alquilan a través de servicios de proxy en línea.

Para robar el ancho de banda de un dispositivo, los actores de amenazas instalan un software llamado 'proxyware' que asigna el ancho de banda de Internet disponible de un dispositivo como un servidor proxy que los usuarios remotos pueden usar para diversas tareas, como pruebas, recopilación de inteligencia, distribución de contenido o investigación de mercado. 

A los botters también les encantan estos servicios de proxy, ya que obtienen acceso a direcciones IP residenciales que no han sido incluidas en la lista negra de los minoristas en línea.

A cambio de compartir su ancho de banda, el propietario del dispositivo obtiene una participación en los ingresos de las tarifas cobradas a los clientes. Por ejemplo, el servicio Peer2Profit muestra que los usuarios ganan hasta $6,000 por mes al instalar el software de la compañía en miles de dispositivos.

 

 

Según un nuevo informe publicado hoy por investigadores de la empresa surcoreana Ahnlab, han surgido nuevas campañas de malware que instalan software proxy para ganar dinero compartiendo el ancho de banda de la red de sus víctimas.

Los atacantes reciben una compensación por el ancho de banda configurando su dirección de correo electrónico para el usuario, mientras que las víctimas solo pueden notar algunas ralentizaciones e interrupciones en la conectividad.

Escabullir clientes proxy en dispositivos

Ahnlab observó la instalación de software proxyware para servicios, como Peer2Profit e IPRoyal, a través de paquetes de adware y otras variedades de malware.

El malware verifica si el cliente proxy se está ejecutando en el host y puede usar la función "p2p_start ()" para iniciarlo si está desactivado.

 

 

En el caso de IPRoyal's Pawns, el malware prefiere instalar la versión CLI del cliente en lugar de la GUI, ya que el objetivo es que el proceso se ejecute sigilosamente en segundo plano.

 

 

En observaciones más recientes, los atacantes usaron Peones en forma de DLL y proporcionaron sus correos electrónicos y contraseñas en forma de cadena codificada, lanzándolos con las funciones "Initialize()" y "startMainRoutine()".

 

 

Una vez que el software proxy está instalado en un dispositivo, el software lo agrega como un proxy disponible que los usuarios remotos pueden usar para cualquier tarea que deseen en Internet.

Desafortunadamente, esto también significa que otros actores de amenazas pueden usar estos proxies para actividades ilegales sin que la víctima se dé cuenta.

Infectando servidores MS-SQL también

Según el informe de Ahnlab, los operadores de malware que usan este esquema para generar ingresos también se dirigen a servidores MS-SQL vulnerables para instalar clientes Peer2Profit.

Esto ha estado sucediendo desde principios de junio de 2022, con la mayoría de los registros recuperados de los sistemas infectados que revelan la existencia de un archivo de base de datos lleno de UPX llamado "sdk.mdf".

 

 

Entre las amenazas más comunes para los servidores Microsoft SQL se encuentran los mineros de criptomonedas que realizan cryptojacking. También hay muchos casos en los que el actor de amenazas utiliza el servidor como un punto de pivote en la red a través de balizas Cobalt Strike

La razón detrás del uso de clientes de proxyware es probablemente una mayor posibilidad de permanecer sin ser detectado durante períodos prolongados, lo que se traduce en ganancias más significativas. Sin embargo, no está claro cuánto dinero generan los actores a través de este método.

Además, los servidores de Microsoft SQL suelen estar ubicados en redes corporativas o centros de datos con abundante ancho de banda de Internet que los servicios de proxy pueden vender con fines ilegales.

 

Fuente: https://www.bleepingcomputer.com/news/security/microsoft-sql-servers-hacked-to-steal-bandwidth-for-proxy-services/