来自Facebook的安全研究人员发现了Sefnit点击欺诈恶意软件程序的一个新变种,该程序使用SSH来进行命令和控制,而不是Tor匿名网络。
这种又被称为Mevade的威胁去年感染了数百万台电脑,导致洋葱网络使用量突然激增。
据介绍,Sefnit是一系列恶意软件程序,至少从2011年开始,这些程序就被用来通过产生流氓广告点击来欺骗广告商一个分析微软恶意软件保护中心的研究人员在9月份进行了调查。
8月中旬,Sefnit的一个变种被称为Mevade导致Tor匿名网络的日常用户数量上升从大约50万到300多万,因为它使用了Tor隐藏服务——一个只能从Tor网络内部访问的网站——作为命令和控制(C&C)服务器。
与劫持用户点击搜索结果的旧Sefnit变体不同,Mevade使用了不同的点击欺诈技术,包括将受感染的计算机转换为代理服务器,以路由欺骗性广告点击流量。
对于Mevade的作者来说,考虑到匿名网络的流量可能很慢,尤其是在客户拥挤的情况下,Tor作为C&C频道的效果还不清楚。糟糕的表现或许可以解释为什么Facebook研究人员最近分析的新版Sefnit不再依赖Tor。
相反,新的变体使用Plink (PuTTY链接)命令行网络连接工具,通过SSH (Secure Shell)协议访问C&C服务器,Facebook安全团队周一在一份博客其中包含了新威胁的细节。
Plink的使用进一步表明Sefnit的作者有一种为了达到他们的目的而重新使用合法软件的倾向。这种行为之前在Tor和3proxy(一个免费的代理服务器程序)中观察到。
“这篇文章引用了额外的文件、域和工件,包括channel.dll中的SSH功能,”Facebook的研究人员说。“我们希望这些细节和指标能帮助安全团队审计他们的资产,寻找Sefnit的迹象。”