Il proxyjacking è un attacco fileless che può evitare alcuni dei mezzi di rilevamento del cryptojacking e può colpire chiunque, passando inosservato. All’inizio del mese scorso è stato scoperto in uno degli honeypot del SIRT di Akamai il proxyjacking a scopo di lucro. I ricercatori di Akamai sono riusciti a decodificare il bash script e hanno fornito una documentazione tecnica e suggerito mitigazioni sia per le aziende che per gli utenti. Ricordiamo che con il proxyjacking, l’attaccante non si limita a rubare risorse, ma sfrutta anche la larghezza di banda inutilizzata della vittima per eseguire vari servizi in qualità di nodo proxy peer-to-peer (P2P) che gli attaccanti hanno recentemente iniziato a monetizzare attraverso organizzazioni come Peer2Profit o Honeygain. Queste aziende offrono agli utenti l’opportunità di essere pagati per la loro larghezza di banda extra, una prospettiva attraente e legittima per molte persone ed organizzazioni.
Mappatura di una campagna di proxyjacking negli honeypot SSH
L’8 giugno 2023 il team di esperti di Akamai ha notato un attaccante che ha stabilito diverse connessioni SSH a un honeypot Cowrie, un asset gestito dal SIRT di Akamai. La prima linea d’azione dell’attaccante è stata quella di utilizzare uno script Bash con doppia codifica Base64, una tecnica comune utilizzata per oscurare la vera funzionalità dello script ed eludere i sistemi di sicurezza. Una volta decodificato con successo lo script Bash offuscato, si è potuto vedere il modus operandi dell’attaccante per il proxyjacking. Grazie alla registrazione di questo script decodificato, è stata analizzata meticolosamente la natura e la sequenza delle operazioni previste dall’attaccante.
Per l’utente comune è importante implementare solide regole di sicurezza:
1-Utilizzare password complicate da memorizzazione in un password manager.
2-Installare patch alle applicazioni e abilitare l’autenticazione a più fattori, quando possibile.
Gli utenti con una conoscenza più approfondita della sicurezza informatica possono inoltre prestare attenzione ai container in esecuzione, monitorare il traffico di rete per individuare eventuali anomalie ed eseguire regolarmente scansioni delle vulnerabilità.
Per maggiori dettagli è possibile consultare il blogpost al seguente link.
Uno dei motivi per cui il sistema funziona male è la mancanza di RAM. Scoprite…
Le vulnerabilità dei driver di Windows possono essere sfruttate per una vasta gamma di attacchi,…
FakeUpdates si conferma al primo posto mentre avanza una campagna di malware Remcos per Windows…
La rimozione di servizi e demoni non necessari in Linux può liberare risorse di sistema…
Il primo passo per mettere mano al proprio sistema è valutarlo e capire quanto è…
La maggior parte degli italiani è disposta a usare l’IA per gestire la propria vita…
Abbonati ad Hackerjournal per un anno a 33,90 € con digitale in omaggio anziché 46,90 €!
CLICCA QUI PER ABBONARTI!