據(jù)Bleeping Computer網(wǎng)站7月28日消息，目前，一些攻擊者通過使用捆綁廣告的軟件甚至是惡意軟件入侵微軟的SQL服務(wù)器，將設(shè)備轉(zhuǎn)化為在線代理服務(wù)出租的服務(wù)器進行牟利。

為了竊取設(shè)備的帶寬，攻擊者安裝了代理軟件 ，將設(shè)備的可用互聯(lián)網(wǎng)帶寬分配為代理服務(wù)器，遠程用戶可以使用該服務(wù)器進行各種操作，如測試、情報收集、內(nèi)容分發(fā)或市場研究。

作為共享帶寬的回報，設(shè)備所有者可以從向客戶收取的費用中抽成。例如，Peer2Profit服務(wù)顯示，通過在數(shù)以千計的設(shè)備上安裝該公司的軟件，每月賺取多達6000美元的收入。

Peer2Profit 代理服務(wù)前 10 名用戶

根據(jù)韓國公司Ahnlab的研究人員28日發(fā)表的一份新報告，一種新的惡意軟件活動正通過安裝代理軟件，利用受害者的網(wǎng)絡(luò)帶寬賺錢。攻擊者通過為用戶設(shè)置其電子郵件地址來獲得帶寬補償，而用戶可能只會察覺到網(wǎng)絡(luò)速度有時會變慢。

在設(shè)備上偷裝代理客戶端

Ahnlab觀察到通過捆綁廣告的軟件和其他惡意軟件，為 Peer2Profit 和 IPRoyal 等服務(wù)安裝代理軟件。

惡意軟件檢查代理客戶端是否在主機上運行，如果停用，它可以使用 "p2p_start() "函數(shù)來啟動。

創(chuàng)建和運行 Peer2Profit SDK

對于 IPRoyal 的 Pawns，惡意軟件更喜歡安裝客戶端的 CLI 版本而不是 GUI 版本，因為其目的是讓該進程在后臺隱蔽地運行。

安裝和配置 Pawns CLI

在最近的觀察中，攻擊者使用DLL形式的Pawns，以編碼的字符串形式提供他們的電子郵件和密碼，并用 "Initialize() "和 "startMainRoutine() "函數(shù)來啟動。在設(shè)備上安裝代理軟件后，該軟件會將其添加為可用代理，遠程用戶可以使用它在互聯(lián)網(wǎng)上進行任何操作。這也意味著其他攻擊者可以在受害者不知情的情況下使用這些代理進行非法活動。

感染MS-SQL服務(wù)器

根據(jù)Ahnlab的報告，使用這種方案創(chuàng)收的惡意軟件也會針對脆弱的MS-SQL服務(wù)器來安裝Peer2Profit客戶端。

這一情況自2022年6月初以來便一直持續(xù)，研究人員從受感染系統(tǒng)中檢索到的大多數(shù)日志都顯示存在一個名為“sdk.mdf”的 UPX 打包數(shù)據(jù)庫文件。

安裝 Peer2Profit 的 SQL 進程

在微軟SQL服務(wù)器更常見的威脅中，有進行加密貨幣劫持的加密貨幣幣礦工，也有攻擊者通過Cobalt Strike信標(biāo)將服務(wù)器作為進入網(wǎng)絡(luò)的支點。

使用代理軟件客戶端背后的原因可能是增加了長時間不被發(fā)現(xiàn)的機會，這就轉(zhuǎn)化為更大的利潤。不過，目前還不清楚行為人通過這種方法賺了多少錢。

參考來源：https://www.bleepingcomputer.com/news/security/microsoft-sql-servers-hacked-to-steal-bandwidth-for-proxy-services/