Site icon Panda Security Mediacenter

Proxyware hackerato: un’altra arma nelle mani dei cybercriminali

Le app di Internet sharing nel mirino degli hacker. Scopri quali sono i rischi e come difenderti.

Trojan, phishing, malware, adware… la lista di tecniche e strumenti creati dai cybercriminali è lunghissima, ma la cosa peggiore è che non smette di ampliarsi. Ogni volta che viene immessa sul mercato una nuova invenzione (hardware o software), da qualche parte spunta un cybercriminale che trova un modo per trasformarla in un’arma e attaccare il popolo di Internet.

La new entry di queste settimane è il software conosciuto come proxyware, ovvero quei programmi che permettono a un utente di condividere la propria connessione a Internet e convertirsi in un proxy, a cui si connetteranno i clienti dell’applicazione. Così, da un lato il singolo utente guadagna “affittando” la propria connessione, e dall’altro i clienti finali (per lo più grandi aziende) hanno accesso a connessioni da punti geografici diversi, che possono utilizzare per vari scopi.

Ebbene, gli hacker hanno trovato il modo di introdursi nelle reti proxyware e sfruttarle a proprio vantaggio sia direttamente che indirettamente. Vuoi sapere come? Continua a leggere!

Cosa sono i proxyware

Meglio conosciuti come applicazioni di condivisione di Internet, sono servizi che consentono appunto agli utenti di condividere una porzione della propria larghezza di banda in cambio di un compenso economico. Questa connessione viene sfruttata dai clienti dell’applicazione che utilizzano il nodo dell’utente come un proxy di accesso con varie finalità:

Spiegato in maniera molto schematica, l’azienda italiana A si connette all’endpoint di un utente francese B, così può simulare una connessione dalla Francia. A paga l’azienda che fornisce il servizio, che a sua volta paga B per la larghezza di banda che ha ceduto.

I guadagni dei proxyware sono limitati, ma le “economie di scala” degli hacker li trasformano in una miniera d’oro.

Come vengono sfruttati i proxyware dagli hacker

Per ora, e per quanto ne sappiamo, i cybercriminali hanno trovato 3 modi per sfruttare le reti proxyware e trasformarle in vettori di cyberattacchi:

  1. Botnet di falsi account
  2. Cryptojacking
  3. Spyware

Reti di botnet connesse al proxyware

Innanzitutto, il modo più intuitivo in cui è possibile sfruttare l’architettura delle reti proxyware per un hacker di un certo livello è connettere una botnet e creare un account proxyware per ciascun computer zombie della botnet. I guadagni che si possono ottenere con un’app di condivisione Internet sono limitati, ma le “economie di scala” degli hacker li trasformano in una miniera d’oro.

L’utente medio collegato a una rete proxyware guadagna circa 20 € al mese. Ora, prendete questa cifra e moltiplicatela per i 3000 endpoint connessi a una botnet di piccole dimensioni (le più grandi sono molto, molto più estese). Stiamo già parlando di 60.000 € al mese. Non male per una persona che se ne sta comodamente seduta davanti ai suoi monitor, mentre il “lavoro sporco” lo fanno il servizio di Internet sharing e gli utenti finali che cedono la propria connessione.

Vediamo come funziona: molti computer sono stati aggiunti a una botnet, ovvero una rete di terminali controllati da remoto dagli hacker, che hanno avuto accesso tramite trojan e altri malware. Il criminale crea un account presso il servizio di proxyware e poi lo configura in modo che l’accesso venga dirottato verso uno dei computer connessi alla botnet.

LEGGI ANCHE:

Che cos’è una botnet?L’azienda di proxyware ovviamente limita il numero di endpoint per ciascun account, ma basta creare più account e il gioco è fatto: così è molto più difficile scoprire il traffico irregolare generato dalla botnet, a meno che non venga segnalato da un utente.

Inoltre, alcuni hacker hanno trovato il modo di modificare il file di installazione di alcuni proxyware e trasformarlo nel payload di un malware, in modo da installarlo sui computer senza che i proprietari se ne rendano conto.

Cryptojacking e spyware

Quello che abbiamo visto è solo il primo modo in cui gli hacker hanno imparato ad approfittare delle reti di condivisione internet. A un certo punto, qualcuno di loro deve aver pensato “già che ci siamo, perché non aggiungo un bel payload nel computer della vittima? Per esempio, un miner di criptomonete oppure uno spyware?”

Chi ha avuto per primo questa idea deve essersi sentito molto soddisfatto di sé, perché si tratta di una sinergia incredibile (per l’hacker che la sfrutta, non certo per la vittima). I malware di cryptojacking funzionano bene e sono redditizi per gli hacker, ma rallentano le prestazioni dei dispositivi infettati e questo rallentamento di solito è l’indizio che porta l’utente a scoprire il malware e rimuoverlo.

Se invece installiamo un cryptojacker su un computer già connesso a una rete proxyware, il suo proprietario si aspetta già un calo delle prestazioni e della larghezza di banda, per cui l’ulteriore riduzione dovuta al malware passerà inosservata. Due piccioni con una fava, come si suol dire!

Per quanto riguarda gli spyware, poi, è semplicemente un discorso di “capitalizzazione degli investimenti”: l’hacker sfrutta al massimo ogni computer infetto e se può rubarne i dati personali per accedere ai suoi account online o diffondere l’infezione ad altri computer della rete, ben venga.

L’utente di un proxyware guadagna circa 20 € al mese. Moltiplicateli per i 3000 endpoint di una botnet… fanno 60.000 € al mese!

Come proteggersi dagli hacker che attaccano le reti proxyware

Il metodo più semplice è non utilizzare il servizio proxyware per cedere la propria connessione. Tuttavia, se vi fa gola guadagnare un extra senza fare niente, aiutando al contempo i clienti di queste app, allora dovete assolutamente prendere altre misure di sicurezza.

Il nostro consiglio è rafforzare al massimo il vostro sistema di cybersecurity, perché connettendovi a un servizio di Internet sharing siete molto più esposti rispetto ai normali utenti di Internet. Questo significa fare molta attenzione a cosa scaricate e da dove, perché potreste installare proprio il payload di una botnet che vampirizza le reti proxyware.

Un altro accorgimento importante, soprattutto se connettete anche lo smartphone o altri dispositivi mobili alle app di Internet sharing, è controllare le prestazioni e l’impegno di banda e verificare di non avere app sconosciute installate.

Infine, la cosa più importante da fare per proteggersi da questi e altri attacchi informatici è installare un potente antimalware e tenerlo aggiornato. Gli hacker hanno sempre più risorse e tecniche nel loro arsenale; quanto meno, dobbiamo rendergli la vita difficile e non lasciare la porta aperta affinché entrino ed escano liberamente.

CONTINUA A LEGGERE: 4 tipi di malware che devi conoscere

Buona navigazione e buona protezione dagli attacchi ai proxyware!

Exit mobile version