Cisco: criminelen verdienen via proxyware aan bandbreedte slachtoffers

[Captain Kirk]

Criminelen maken gebruik van legitieme proxyware-applicaties om aan de bandbreedte van slachtoffers te verdienen wat een risico voor organisaties kan zijn, zo stelt Cisco. Proxyware is software die gebruikers in staat stelt om hun bandbreedte tegen betaling aan te bieden aan een tussenpartij. Deze tussenpartij biedt de bandbreedte weer aan klanten aan.

In veel gevallen worden proxyware-diensten aangeboden als een manier voor marketingorganisaties om potentiële campagnes vanaf verschillende geografische locaties te testen of om netwerkbeperkingen te omzeilen. Volgens Cisco maken criminelen inmiddels ook misbruik van dit verdienmodel door proxyware-applicaties op de systemen van slachtoffers te installeren zodat zij worden betaald voor de bandbreedte van hun slachtoffers.

Dit kan niet alleen gevolgen hebben voor de bandbreedte, de systemen waarop de proxyware-applicaties draaien kunnen ook door criminelen worden gebruikt als proxy bij hun aanvallen of malafide activiteiten. Daardoor lijkt het alsof deze activiteiten van een legitiem netwerk afkomstig zijn, aangezien de proxyware-applicatie gewoon het ip-adres doorgeeft van het netwerk waarop het is geïnstalleerd.

Sommige gebruikers en organisaties kunnen hierdoor zelfs onderdeel van politie-onderzoek worden als hun verbinding via de proxyware-applicatie voor illegale doeleinden wordt gebruikt, stelt Cisco. Ook bestaat het risico dat het ip-adres van een organisatie op een blocklist terechtkomt. Proxyware-applicaties zouden bijvoorbeeld door medewerkers kunnen worden geïnstalleerd, maar ook via malware of softwarebundels op systemen terecht kunnen komen.

"Deze relatief nieuwe platformen zijn met een legitiem doel ontwikkeld, maar aanvallers hebben snel manieren gevonden om er misbruik van te maken", stelt onderzoeker Edmund Brumaghin. "We denken dat aanvallers deze proxyware-platformen zeer waarschijnlijk zullen misbruiken, aangezien ze de locatie van een aanvaller effectiever kunnen verbergen dan Tor, aangezien de exitnodes niet zijn te vast te leggen."

Brumaghin laat weten dat deze platformen twee grote risico's voor organisaties introduceren. Ten eerste het misbruik van hun bandbreedte en het risico om op een blocklist te belanden. Daarnaast kan het het aanvalsoppervlak van organisaties vergroten en een directe aanvalsvector op het endpoint introduceren. Organisaties wordt dan ook aangeraden om het gebruik van proxyware binnen hun netwerk te verbieden.

 

bron: https://www.security.nl