لا تزال إحدى حملات البرامج الضارة الأكثر تقدمًا من جانب الخادم تنمو، مع وجود مئات الآلاف من الخوادم المخترقة، وقد تنوعت لتشمل سرقة بطاقات الائتمان والعملات المشفرة.

يكشف هذا البحث الجديد الذي أجرته شركة الأمن السيبراني إسيت  Eset عن عائلات البرامج الضارة الجديدة المستخدمة للاستفادة من شبكة Ebury الروبوتية، بالإضافة إلى البريد العشوائي وإعادة توجيه حركة مرور الويب التي لا تزال العصابة ترتكبها، حيث يتم الاستفادة من طلبات HTTP POST المقدمة من وإلى الخوادم لسرقة التفاصيل المالية من مواقع المعاملات.

ومن بين الضحايا العديد من مقدمي خدمات الاستضافة. تستفيد العصابة من وصولها إلى البنية التحتية لمزود الاستضافة لتثبيت Ebury على جميع الخوادم التي يستأجرها هذا المزود. على سبيل التجربة، استأجرنا خادمًا افتراضيًا من أحد موفري الاستضافة المعرضين للخطر: تم تثبيت Ebury على الخادم الخاص بنا في غضون سبعة أيام.

هناك طريقة أخرى مثيرة للاهتمام وهي استخدام الخصم في المنتصف لاعتراض حركة مرور SSH للأهداف المثيرة للاهتمام داخل مراكز البيانات وإعادة توجيهها إلى خادم يستخدم لالتقاط بيانات الاعتماد، كما هو ملخص في الشكل 3. يستفيد مشغلو Ebury من خوادم Ebury الحالية المخترقة في نفس الشبكة المقطع كهدفهم لأداء انتحال ARP. وفقًا لقياس الإنترنت عن بعد، تم استهداف أكثر من 200 خادم في عام 2023. ومن بين الأهداف عقد البيتكوين والإيثريوم. تقوم Ebury تلقائيًا بسرقة محافظ العملات المشفرة المستضافة على الخادم المستهدف بمجرد قيام الضحية بكتابة كلمة المرور لتسجيل الدخول إليها.

إذن ما مدى فعالية كل هذه الأساليب؟ مجتمعة، تم اختراق حوالي 400000 خادم بواسطة Ebury منذ عام 2009، وما زال أكثر من 100000 خادمًا مخترقًا حتى أواخر عام 2023.