操控Bunitu僵尸网络的网络犯罪分子们可以利用Bunitu僵尸网络来感染代理服务器,并将这些受感染服务器的网络访问权限以现金的形式销售给他人。
用户使用VPN服务的目的是为了保护他们的个人隐私,但有的用户却完全没有意识到,某些特定VPN服务提供商的后端系统会将用户的通信数据传输到一个由网络犯罪分子所控制的基础设施或者受木马病毒感染的计算机之中。
不仅如此,而且这些数据流量都没有经过任何的加密处理,这样也就违背了用户使用VPN服务的初衷。
在缺乏加密措施的情况下,用户的VPN流量数据可以被黑客截获,这也会给客户们造成一种数据安全的假象。而“中间人攻击”以及“通信数据重定向攻击”将会使目前的情况变得更加的糟糕。
反病毒公司Malwarebytes以及反广告欺诈公司Sentrant的安全研究人员发现了一种廉价的恶意VPN骗局。起初,这两个公司都在对僵尸网络进行研究和分析,因为他们都认为广告点击欺诈是僵尸网络非法收入的主要来源。但随着他们的研究不断地深入,他们发现某些不法的VPN服务才是网络欺诈行为的罪魁祸首。
尤其是有一个名为VIP71的VPN服务,这个VPN服务与Bunitu僵尸网络以及其代理服务器有着密切的联系。很多地下论坛的黑客都认为,VIP72可以算得上是网络犯罪分子的第一选择了,而且它也是尼日利亚419犯罪团伙最喜爱的工具之一。
根据Malwarebytes公司上个月的报道, Bunitu木马可以在大量的恶意广告活动中,通过Neutrino漏洞利用工具来进行传播。Malwarebytes公司估计,目前大约有十万台设备感染了Bunitu木马,这个数字可以将这个僵尸网络归类为中端等级的僵尸网络了,因为大型的僵尸网络所感染的设备数量至少为七位数。
Malwarebytes公司的安全研究人员Jér?me Segura将这种恶意VPN的工作机制告诉了El Reg,并解释称:“针对这种基于僵尸网络的VPN,它们的服务架构与合法VPN提供商所提供的服务是完全不同的。”
他还补充说到:“这种恶意的VPN会将用户的个人计算机设置为代理服务器,并将这些计算机作为VPN流量的出口节点。这种VPN服务的系统架构与正规VPN服务的系统架构是完全不同的,但是对于一无所知的用户们来说,用户在使用这些VPN的过程中并不会感受到任何的区别。”
现在的结果就是,受感染的计算机会构成Bunitu僵尸网络,Bunitu也会利用这些受感染的计算机,并使用它们为可疑的VPN服务提供免费的出口节点。
Malwarebytes公司在一篇博客文章中对公司目前正在进行的调查研究进行了总结,文章中写到:“Bunitu向我们展示了多功能的恶意软件是多么的强大,尤其是当受感染的计算机系统联合起来去对付同一个目标的时候。目前,我们正在对该僵尸网络的主要部件进行分析和研究,但就这个安全威胁来说,我们还有很多东西尚未弄清楚。尤其是我们尚不清楚它所能达到的威胁程度,以及目前正在使用这个僵尸网络的VPN服务提供商。”
Malwarebytes公司和Sentrant公司正在组织其他的安全研究人员和相关的执法部门一同合作,并共享有关Bunitu僵尸网络的详细信息。
据说,Hola VPN拥有高达九百七十万的用户群体,但是当Hola VPN被指与僵尸网络有关联之后,公众就开始担忧了。Malwarebytes公司对The Register所进行的调查进行了回应,Malwarebytes公司已经确认,Hola VPN与Bunitu僵尸网络之间没有任何的关系。
……