黑客利用网络代理软件进行恶意软件非法活动以此获利

威胁行为者正在利用 Honeygain 和 Nanowire 等代理软件平台的日益普及来通过他们自己的恶意软件活动获利，这再次说明攻击者如何迅速重新利用合法平台并将其武器化以获取优势。

“恶意软件正在利用这些平台赚钱的受害者，类似cryptocurrency挖矿尝试如何恶意赚钱感染系统的CPU周期的互联网带宽，”思科塔洛斯研究人员说，在周二的分析。“在许多情况下，这些应用程序以多阶段、多负载恶意软件攻击为特色，为攻击者提供多种货币化方法。”

代理软件，允许用户通过提供商提供的客户端应用程序为其他设备分配一定比例的互联网带宽，通常需要付费，使其他客户能够使用网络上的节点提供的互联网连接。研究人员解释说，对于消费者而言，此类服务“被宣传为一种绕过流媒体或游戏平台的地理定位检查的手段，同时为提供带宽的用户创造了一些收入”。

但是代理软件的非法使用也带来了许多风险，因为它们可能允许威胁行为者混淆其攻击源，从而不仅使他们能够执行恶意操作，使其看起来好像来自合法住宅或企业网络，但也会使依赖于基于 IP 的阻止列表的传统网络防御变得无效。

研究人员指出：“目前用于监控和跟踪 Tor 出口节点、’匿名’代理和其他常见流量混淆技术的相同机制目前不存在用于跟踪这些代理软件网络中的节点。”

那不是全部。研究人员确定了不良行为者采用的几种技术，包括木马代理软件安装程序，这些程序允许在受害者不知情的情况下秘密分发信息窃取程序和远程访问木马 (RAT)。在 Cisco Talos 观察到的一个实例中，发现攻击者使用代理软件应用程序将受害者的网络带宽货币化以产生收入，并利用受感染机器的 CPU 资源来挖掘加密货币。

另一个案例涉及多阶段恶意软件活动，最终部署了信息窃取程序、加密货币挖掘有效载荷以及代理软件，强调了“攻击者可用的各种方法”，他们现在可以超越加密劫持进行掠夺有价值的数据并以其他方式将成功的感染货币化。

更令人担忧的是，研究人员检测到恶意软件用于在受感染的系统上静默安装 Honeygain，并将客户端注册到对手的 Honeygain 帐户，以从受害者的互联网带宽中获利。这也意味着攻击者可以注册多个 Honeygain 帐户，以根据其控制的受感染系统的数量扩展其操作。

“对于组织而言，这些平台带来了两个基本问题：滥用他们的资源，最终由于他们甚至无法控制的活动而被列入黑名单，这增加了组织的攻击面，可能直接在端点上创建初始攻击向量，”研究人员总结道：“由于与这些平台相关的各种风险，建议组织考虑禁止在公司资产上使用这些应用程序。”