Злоумышленники зарабатываю на взломе серверов Microsoft SQL, превращая их в прокси-серверы, которые затем сдают в аренду за деньги.
Южнокорейская компания Ahnlab рассказывает о вредоносной кампании, в рамках которой хакеры воруют чужую полосу пропускания, устанавливая на взломанные машины proxyware и используя их в качестве прокси.
Такие прокси-системы используются «арендаторами» для различных задач, включая вполне легальное тестирование, сбор данных или распространение контента. Однако подобные прокси также позволяют получить доступ к «живым» IP-адресам, которые не занесены в черные списки интернет-магазинов, и могут применяться для самых разных незаконных действий (конечно, без ведома пользователя).
Эксперты объясняют, что существуют сервисы, которые позволяют владельцам устройств превратить их в прокси и получать определенный процент от сумм, взимаемых с клиентов, в обмен на «совместное использование» полосы пропускания. Например, статистика сервиса Peer2Profit гласит, что пользователи зарабатывают до 6000 долларов в месяц, устанавливая proxyware на тысячи устройств.
По информации аналитиков Ahnlab, в последнее время на таких сервисах всех чаще зарабатывают не простые пользователи, а хакеры. Исследователи пишут, что появились новые вредоносные кампании, в рамках которых злоумышленники заражают жертв proxyware, чтобы зарабатывать деньги. Хакеры получают проценты за использование чужой полосы пропускания, устанавливая свой email-адрес в качестве почты пользователя, а жертвы не замечают ничего или порой наблюдают небольшие замедления и сбои подключения.
Эксперты описывают установку proxyware для таких сервисов, как Peer2Profit и IPRoyal, которые часто распространяются с помощью рекламного ПО и другой малвари. Так, после заражения, вредоносное ПО проверяет, запущен ли прокси-клиент на хосте, и может использовать функцию p2p_start() для его запуска, если он неактивен.
В случае с IPRoyal Pawns, малварь предпочитает устанавливать CLI-версию клиента вместо версии с GUI, так как процесс должен работать максимально скрытно, в фоновом режиме.
Также порой злоумышленники используют Pawns в виде DLL и подставляют свои email-адреса и пароли в виде закодированных строк, запуская функции Initialize() и startMainRoutine().
Согласно отчету Ahnlab, операторы малвари, использующие эту схему для получения доходов, нередко атакуют уязвимые серверы MS-SQL для установки клиентов Peer2Profit. Такая активность наблюдается с начала июня 2022 года, и большинство журналов, полученных с зараженных машин, указывают на существование упакованного UPX-файла с именем sdk.mdf.
Исследователи пишут, что пока неясно, сколько денег злоумышленники зарабатывают с помощью таких атак.

Очередная тема для хакеров. Помимо установки на облака скрытых майнеров, например.

Хотя... Бред какой-то а не тема по проксям, что бы заразить вручную хотя бы 1000 систем учитывая например что на каждую у тебя уйдёт по часу на взлом и установку прокси - это 1000 часов работы - а получишь лаве с гулькин хрен. 6к баксов в месяц получает только один самый заражающий хакер, заразил он около 300к машин, остальные дай бог 1к долларей получают. Столько даже на заводах не работают ради 1к долларов, за такие смешные суммы. На заводах получают больше обычные работяги которые Ваньку валяют и нихрена почти не делают.