Ένα honeypot πρόσφατα ανακάλυψε μια καμπάνια spam, η οποία χρησιμοποιεί συμβιβασμένες συσκευές με σκοπό μετά να επιτεθούν σε ευάλωτους servers. Αφού οι hackers εκμεταλλεύονται τις συσκευές που συνήθως έχουν αδύναμα credentials, τις χρησιμοποιούν σαν proxies για να προωθήσουν ένα PHP script στον server. Αυτό το script στέλνει με τη σειρά του emails που περιέχουν links για sites που στην ουσία είναι οι “παγίδες”.
Τα περισσότερα από τα δείγματα που εντοπίστηκαν, ήταν για spam emails και για ανακατεύθυνση των χρηστών σε τέτοια scam sites. Παρόλα αυτά, οι διαδικασίες που εκτελούν τα botnets θα μπορούσαν να χρησιμοποιηθούν και για τη διάδοση malware. Παράλληλα η χρήση ενός PHP script, δεν επιτρέπει μόνο τη μόλυνση του συστήματος, αλλά επιτρέπει στον hacker να έχει και πάλι πρόσβαση στους servers ακόμα κι όταν η ευπάθεια επιδιορθωθεί.
Το μόνο σίγουρο είναι ότι αυτοί οι hackers γνώριζαν πολύ καλά τι έκαναν. Χρησιμοποιώντας συμβιβασμένες συσκευές, κάνουν πιο δύσκολη τη δουλειά των ερευνητών και αναλυτών security, που δεν είναι άλλη από την ανίχνευση του υπαίτιου της επίθεσης.
Είναι αρκετά πιθανό, να επέλεξαν τις συγκεκριμένες συσκευές για να στείλουν τα emails, μετά από σάρωση για ανοιχτά SSH ports. Επίσης, αυτά τα scam sites μιμούνται νόμιμα sites ειδήσεων αλλά και sites συναλλαγών cryptocurrency. Αυτό το κάνουν αρκετά καλά ώστε να εξαπατούν πιθανούς χρήστες-θύματα, που είτε δεν είναι αρκετά επιφυλακτικοί είτε για παράδειγμα επιθυμούν να αποκτήσουν έξτρα εισόδημα.
Το γεγονός ότι τόσοι άνθρωποι ξεγελιούνται με αυτές τις απάτες, δεν σημαίνει ότι οι hackers θα έχουν χρηματικές απολαβές μόνο. Μελλοντικά θα μπορούν να αποκτήσουν μεθόδους για εγκατάσταση περισσότερων malware, ακόμα και όταν ομάδες IT επιδιορθώνουν τα ελαττώματα. Στην πράξη, αυτές οι συσκευές εμπεριέχονται σε botnets ή χρησιμοποιούνται για άλλες τέτοιες απάτες.
Ακόμα και αν έχουν επιλυθεί αρκετές από τις συνέπειες της επίθεσης, οι οδηγίες που ακολουθούν σίγουρα θα βοηθήσουν στο μέλλον.
- Μην κάνετε κλικ σε links που εμπεριέχονται σε emails άγνωστων αποστολέων.
- Τα αδύναμα και μικρά passwords πρέπει οπωσδήποτε να αλλάξουν.
- Τα ports που δε χρησιμοποιούνται παραμένουν απαραιτήτως κλειστά.
