IPRoyal Pawns

de on janvier 16, 2024 with Aucun commentaire

Le malware ‘IPRoyal Pawns’ transforme le poste infecté en proxy de type ‘residential proxies’.

En effet, ‘IPRoyal Pawns’ est un service Web qui propose de rémunérer le partage de sa connexion internet. Cette application malveillante est disponible sur Windows, Mac et Android. Une fois installé, ‘IPRoyal Pawns’ va alors collecter les données de l’utilisateur.

La présence d’un service de proxy non contrôlé pose de nombreux problèmes de sécurité pour les utilisateurs. Les proxies résidentiels vont aussi permettre de contourner les services de validation de type CAPTCHA et de type MFA.

En effet, celui-ci peut être utilisé par des acteurs malveillants pour mener des attaques, en particulier des attaques de phishing.

Rappel sur le danger que représente l’utilisation de proxy résidentiel :
https://www.bleepingcomputer.com/news/security/fbi-warns-of-residential-proxies-used-in-credential-stuffing-attacks/
https://www.ic3.gov/Media/News/2022/220818.pdf

Les traces à rechercher sont du type :
# IPRoyal (Pawns)
api.iproyal.com     /   93.189.62.83
resi-api.pawns.app  /   93.189.62.83
resi6-api.pawns.app /   93.189.62.83
admin.pawns.app
api.pawns.app
cdn.pawns.app
dashboard.pawns.app
help.pawns.app
links.pawns.app
links1.pawns.app
resi-api.pawns.app
resi6-api.pawns.app
ipv6-api.pawns.app
ipv6-api.iproyal.com

Pour en savoir plus sur la menace Proxy Résidentiel ‘IPRoyal Pawns’ :

Attackers Profiting from Proxyware ‘include Peer2Profit and IPRoyal’
https://asec.ahnlab.com/en/37276/

LABRAT: Stealthy Cryptojacking and Proxyjacking Campaign Targeting GitLab :
https://sysdig.com/blog/labrat-cryptojacking-proxyjacking-campaign/

Attackers Steal Internet bandwidth to Execute Proxyware:
https://www.socinvestigation.com/attackers-steal-internet-bandwidth-to-execute-proxyware/

Il est recommandé d’identifier le début de l’infection afin de mesurer les données qui ont pu être exfiltrées et de procéder à un nettoyage complet et/ou à une réinstallation de la machine.

Il faut aussi considérer que toutes les informations mémorisées sur la machine peuvent avoir été compromises, et en particulier les mots de passe et les données bancaires.