网络犯罪分子滥用互联网共享服务为恶意软件活动牟利

威胁行动方正利用Honeygain和Nanowire等proxyware平台的日益普及，为自己的恶意软件活动谋利，再次说明攻击者如何迅速调整合法平台的用途，并将其武器化，以达到自身优势。

Cisco Talos的研究人员在周二的一份分析报告中表示：“恶意软件目前正在利用这些平台来为受害者的互联网带宽牟利，就像恶意加密货币挖掘试图为受感染系统的CPU周期牟利一样。”。“在许多情况下，这些应用程序的特点是多阶段、多有效负载的恶意软件攻击，为对手提供多种赚钱方法。”

Proxyware，也称为internet共享应用程序，是一种合法的服务，允许用户通过提供商提供的客户端应用程序为其他设备留出一定比例的internet带宽，通常是收费的，使其他客户能够使用网络节点提供的internet连接访问internet。研究人员解释说，对于消费者来说，这类服务“被宣传为一种手段，可以绕过流媒体或游戏平台上的地理位置检查，同时为提供带宽的用户创造一些收入。”。

但是，proxyware的非法使用也带来了大量风险，因为它们可能会让威胁行为人混淆其攻击的来源，从而不仅让他们能够执行恶意操作，使其看起来好像来自合法的住宅或公司网络，但也会使依赖基于IP的封锁列表的传统网络防御变得无效。

研究人员指出：“目前用于监控和跟踪出口节点、“匿名”代理和其他常见流量混淆技术的机制，在这些proxyware网络中不适用于跟踪节点。”。

还不止这些。研究人员发现了一些不良行为人采用的技术，包括特洛伊木马化的proxyware安装程序，允许在受害者不知情的情况下秘密分发信息窃取者和远程访问特洛伊木马（RAT）。在Cisco Talos观察到的一个实例中，攻击者被发现使用proxyware应用程序将受害者的网络带宽货币化，以产生收入，并利用受损机器的CPU资源挖掘加密货币。

另一起案件涉及一场多阶段的恶意软件攻势，最终部署了一个信息窃取者、一个加密货币挖掘负载，以及proxyware软件，突显了“对手可用的各种方法”，他们现在可以超越加密劫持，还可以掠夺有价值的数据，并以其他方式将成功的感染转化为金钱。

更令人担忧的是，研究人员发现了用于在受感染系统上悄悄安装Honeygain的恶意软件，并向对手的Honeygain帐户注册客户端，以从受害者的互联网带宽中获利。这也意味着攻击者可以注册多个Honeygain帐户，根据其控制下受感染系统的数量来扩展其操作。

研究人员总结道：“对于组织来说，这些平台构成了两个基本问题：滥用资源，最终由于不活动的行为而被封锁，增加了组织的攻击面，可能直接在端点上创建初始攻击向量。”由于与这些平台相关的各种风险，建议组织考虑禁止在企业资产上使用这些应用程序。"