美国网络安全公司Proofpoint 的研究员Andrew Conway 在上周五(5月18日)发表的一篇博文中指出,他们的安全团队近几个月来一直在追踪一个于今年运行在成千上万台Web服务器上的僵尸网络。这个僵尸网络被称为“Brain Food”,被其运营团队用于推动大规模垃圾电子邮件活动。
根据Conway 的说法,Brain Food僵尸网络基于一个恶意的PHP脚本。在过去的四个月里,他们在超过5000个受感染网站上都发现了该脚本的存在。在最近一周的活动中,有2400个网站参与了其中。这也就是说,至少有近一半的网站仍处于活跃状态。据统计,近40%的网站都托管在以下5大平台上,包括GoDaddy、UnifiedLayer、CyrusOne、OVH和DreamHost。
值得注意的是,单个网站可能包含PHP脚本的多个副本,而且脚本似乎并不受内容管理系统(Content Management System,CMS)的影响。Conway 表示,这种能力意味着Brain Food是一个跨平台的僵尸网络,他们至少可以肯定WordPress和Joomla网站会受到影响。
正如文章开头提到的那样,Brain Food僵尸网络目前的任务被设定为推动垃圾电子邮件活动,电子邮件正文中包含有一个用于宣传产品的网址短链接。Proofpoint安全团队发现,Brain Food僵尸网络的运营团队在过去的一周里发送了超过7300个不同短链接,其中55%是goo.gl链接,另外45%则是bit.ly。
除了在今年4月下旬的大约两周时间之外,这种比例几乎一直保持不变。在4月13日,谷歌开始限制匿名用户创建新的goo.gl链接,这使得更多的bit.ly链接被使用。然而,在4月底,Brain Food僵尸网络的运营团队似乎找到了规避谷歌限制的方法,并恢复了之前使用的短链接比例。
垃圾电子邮件看上去十分简单,没有主题,正文中只有一句基本的问候语,然后就是广告短链接。
Conway 表示,目前点击短链接到达的最终网站页面通常模仿了一些合法网站(如Entertainment Today),目的在于宣传假冒减肥药,并声称该产品已经在许多人气电视节目中出现过,如美国ABC电视台的发明真人秀节目“鲨鱼坦克(Shark Tank,又称创智赢家)”。
另外,这些网站之前也被用于宣传声称能够促进智力发育的假冒膳食补充剂。据美国联邦贸易委员会(Federal Trade Commission ,FTC)称,假冒减肥药诈骗是最常见的消费者欺诈类型,每年都会造成数以亿计的直接经济损失。宣传假冒膳食补充剂体现出高度的灵活性和复杂性,因为这意味着Brain Food僵尸网络的运营团队可以在品牌维护者和搜索引擎的监控下迅速切换短链接指向的最终网站页面。
Conway 在文中最后强调,虽然Brain Food僵尸网络目前只被用于推送假冒保健品广告内容,对于受感染网站来说看起来似乎危害并不大。但Conway 表示,他们在恶意PHP脚本的源代码中还发现了后门功能,这意味着Brain Food僵尸网络的运营团队能够在受感染网站上执行任意代码,谁都无法肯定他们接下来会进行怎样的操作。
网友评论