流量交换网络传播伪装成破解软件的恶意软件

一项正在进行的活动被发现利用一个充当“滴管即服务”的网站网络，向寻找流行商业和消费者应用程序“破解”版本的受害者提供一捆恶意软件有效载荷。

网络安全公司Sophos的研究人员在上周发布的一份报告中说：“这些恶意软件包括各种点击欺诈机器人、其他信息窃取者，甚至勒索软件。”。

这些攻击利用了WordPress上托管的许多诱饵页面，这些页面包含指向软件包的“下载”链接，点击这些链接后，会将受害者重定向到另一个网站，该网站提供了可能不需要的浏览器插件和恶意软件，如浣熊盗猎者、Stop勒索软件、Glupteba后门、，以及各种伪装成防病毒解决方案的恶意加密货币矿工。

研究人员说：“到达这些网站的访问者会被提示允许通知；如果他们允许这种情况发生，这些网站会反复发出虚假的恶意软件警报。”。“如果用户单击警报，他们将被引导通过一系列网站，直到到达由访问者的操作系统、浏览器类型和地理位置决定的目的地。”

使用搜索引擎优化等技术，当个人搜索各种软件应用的盗版版本时，网站链接会出现在搜索结果的顶部。这些活动被认为是付费下载服务地下市场的产物，允许入门级网络参与者根据地理定位建立和定制活动。

流量交换，也被称为分发基础设施，通常需要比特币支付，附属公司才能在服务上创建帐户并开始分发安装程序，像InstallBest这样的网站提供关于“最佳实践”的建议，例如建议下载者不要使用基于Cloudflare的主机，以及在Discord的CDN、Bitbucket或其他云平台中使用URL。

除此之外，研究人员还发现了一些服务，它们不是提供自己的恶意软件交付网络，而是充当已建立的恶意网络的“中间人”，这些网络向网站发布者支付流量。其中一个流量供应商是巴基斯坦的广告网络InstallUSD，它与多个涉及被破解软件网站的恶意软件活动有关。

这远远不是“warez”网站第一次被威胁行为者用作感染媒介。今年6月早些时候，一个名为Crackonosh的加密货币采矿者被发现滥用该方法安装一个名为XMRig的硬币采矿软件包，偷偷利用受感染主机的资源开采Monero。

一个月后，一个名为MosaicLoader的恶意软件背后的攻击者被发现，目标是搜索破解软件的个人，这是一场全球行动的一部分，该行动旨在部署一个功能齐全的后门，能够将受损的Windows系统连接到僵尸网络。