Quando un nuovo software o hardware viene immesso sul mercato accade costantemente che i cybercriminali riescano a elaborare uno strumento capace di attaccare tale prodotto o a trasformare una nuova invenzione in una minaccia per gli utenti.
Una delle novità recentemente attaccate sono i cosiddetti proxyware, meglio conosciuti come applicazioni di condivisione di Internet: sono servizi che consentono agli utenti di condividere una porzione della propria larghezza di banda in cambio di un compenso economico. Questa connessione viene sfruttata dai clienti dell’applicazione che utilizzano il nodo dell’utente come un proxy di accesso con varie finalità come ad esempio aggirare le restrizioni su base geografica, o avere analisi di dati web, traffico e pubblicità, test di app e servizi web.
In questo modo il singolo utente guadagna “affittando” la propria connessione, e dall’altro i clienti finali (per lo più grandi aziende) hanno accesso a connessioni da punti geografici diversi.
Gli hacker però hanno trovato il modo di introdursi nelle reti proxyware e, seppur i guadagni legati al loro hackeraggio siano apparentemente limitati, sono riusciti a trasformarli in miniere d’oro.
Come vengono sfruttati i proxyware dagli hacker
I cybercriminali al momento hanno trovato 3 modi per sfruttare le reti proxyware e trasformarle in vettori di cyberattacchi:
- Botnet di falsi account;
- Cryptojacking;
- Spyware.
Il primo è il modo più intuitivo in cui è possibile sfruttare l’architettura delle reti proxyware, ossia connettere una botnet e creare un account proxyware per ciascun computer zombie della botnet.
Un utente medio collegato a una rete proxyware guadagna circa 20 euro al mese, non è molto però se si moltiplica questa cifra per i 3000 endpoint connessi ad una botnet di piccole dimensioni si arriva ad un guadagno di 60.000 euro al mese. I guadagni che si possono ottenere con un’app di condivisione Internet sono limitati, ma le “economie di scala” applicabili alla rete rendono questa opportunità molto interessante per i cybercriminali.
Una volta che si sfrutta un’intera rete è possibile inserire in ogni suo computer un miner di criptomonete, ad esempio, oppure uno spyware. I malware di cryptojacking sono molto redditizi per gli hacker, ma rallentano le prestazioni dei dispositivi infettati e questo solitamente è l’indizio che porta l’utente a scoprire il malware e rimuoverlo. Se invece un cryptojacker viene installato su un computer connesso ad una rete proxyware, il suo proprietario si aspetta già un calo delle prestazioni e della potenza di banda, per cui l’ulteriore riduzione dovuta al malware passerà inosservata.
Per quanto riguarda gli spyware è semplicemente un discorso di “capitalizzazione degli investimenti”: il criminale coglie un ulteriore vantaggio sfruttando al massimo ogni computer infetto rubando anche i dati personali per accedere ad account online o diffondere l’infezione ad altri computer della rete.
Come proteggersi dagli hacker che attaccano le reti proxyware
Panda Security ha individuato alcuni consigli utili per singoli utenti o aziende per evitare minacce legate al proxyware:
- Nell’installazione di un proxyware è possibile scaricare anche software indesiderati. Spesso dopo l’installazione dal sito ufficiale dello sviluppatore è possibile venir invasi da svariati link diretti a siti di file-sharing con dei download di contenuti extra, spesso con nomi fittizi, che si rivelano essere malware o ransomware capace di cifrare i dati. È importante limitarsi a scaricare il software per il proxyware, questi download spesso sono la principale minaccia per la perdita dei dati, per il cryptojacking o peggio possono paralizzare una intera infrastruttura aziendale.
- Spesso invece l’installazione di programmi dannosi avviene parallelamente a quella del servizio proxy. In questo caso l’utente deve prestare attenzione a cosa e da dove sta scaricando il programma. Per capire se avete installato altri programmi indesiderati controllate spesso i processi attivi e le prestazioni nella sezione Gestione Attività del PC. Eventualmente potete individuare software indesiderati che sono attivi e rimuoverli.
- Un altro accorgimento importante, soprattutto se si connette anche lo smartphone o altri dispositivi mobili alle app di Internet sharing, è controllare le prestazioni e l’impegno di banda e verificare di non avere app sconosciute installate su questi device.
- Infine, la protezione più importante per combattere e proteggersi dagli attacchi al proxyware è installare potente e affidabile anti malaware e tenerlo costantemente aggiornato. Ogni utente e ogni azienda dovrebbero averlo su ogni computer con accesso a Internet poiché esso non si limita a proteggere solo gli effetti dannosi del proxyware, ma se questo include o è incluso in altri malware, la struttura è comunque coperta.
I pericoli di questo servizio non sono eliminati neanche usufruendo di un proxyware “pulito”. Sta al buon senso dell’utente e al protocollo di sicurezza aziendale che non dovrebbe permettere di installare proxyware o qualsiasi altro software discutibile sui computer dei dipendenti. Questo perché spesso dipendenti ed utenti hanno meno competenze e soprattutto hanno meno risorse rispetto agli hacker, ai quali quanto meno bisogna rendere la vita difficile e non lasciare la porta aperta affinché entrino ed escano liberamente.
