Proxyware Malware posa como site de download de vídeo do YouTube, entregando javascript malicioso

Pesquisadores de segurança cibernética do Ahnlab Security Intelligence Center (ASEC) descobriram uma campanha persistente em que os invasores distribuem malware proxyware por meio de páginas de download de vídeo do YouTube falsas.

Esta operação, que imita serviços legítimos de download de vídeo, trata os usuários para a instalação de executáveis ​​maliciosos disfarçados de ferramentas benignas como o WinMemoryCleaner.

Os atacantes aproveitam o Github para hospedagem de malware, uma tática consistente com incidentes anteriores, levando a infecções generalizadas, particularmente na Coréia do Sul.

Ao explorar pesquisas de usuário pelo conteúdo do YouTube, o malware se propaga por meio de anúncios pop-up ou links de download direto que aparecem com probabilidade aleatória, garantindo uma cadeia de infecção furtiva que evita a detecção casual.

Mecânica de infecção

O ataque começa quando os usuários inseram um URL de vídeo no YouTube no Site fraudulento e clique no botão de download, que ocasionalmente redireciona para um executável malicioso chamado setup.exe.

Este arquivo instala o malware downloader, WinMemoryCleaner.exe, no Diretório %ProgramFiles % WinMemoryCleaner e executa um script em lote, WinMemoryCleaNeRupdate.bat, para executá -lo com um argumento de “/atualização”.

O malware incorpora técnicas de anti-análise, digitalização para máquinas virtuais e caixas de areia antes de implantar um Script PowerShell que instala o Node.js e baixa cargas úteis JavaScript adicionais.

Esses scripts são agendados por meio do agendador de tarefas em tarefas como “Atualização de agendar” e “WindowsDeviceUpdates”, permitindo a execução periódica.

O JavaScript se comunica com um servidor de comando e controle (C&C), transmitindo detalhes do sistema como UUID, endereço IP e geolocalização e recebe comandos do PowerShell em troca.

Esses comandos facilitam a instalação de variantes de proxyware, incluindo DigitalPulse, Honeygain e a recém -observada Infatica, que sequestra a largura de banda da rede da vítima por serviços de proxy não autorizados.

Por exemplo, a variante Infatica implanta limpezzilo.exe, que carrega Infatica_agent.dll para sifon largura de banda, lucrando com os atacantes enquanto degrada o desempenho do sistema infectado.

Implicações mais amplas

Esta campanha representa uma evolução nas ameaças de proxyware, onde os invasores reapropitam ferramentas legítimas de compartilhamento de largura de banda para obter ganhos ilícitos, semelhantes ao Jacking Cryptojacking, mas focados em recursos de rede, em vez de ciclos de CPU.

Diferentemente das instalações voluntárias em que os usuários ganham recompensas, essas infecções monetizaram involuntariamente as conexões das vítimas, com lucros canalizados para os atores de ameaças.

Casos recentes mostram diversificação em tipos de proxyware, do DigitalPulse e Honeygain a Infatica, indicando táticas adaptativas para ignorar a detecção.

Relatórios da ASEC Que sistemas na Coréia do Sul são alvos principais, com malware empregando métodos de evasão como verificações ambientais e persistência com script.

Para combater isso, os usuários devem evitar executáveis ​​de fontes não verificadas, incluindo sites e pop-ups carregados de anúncios.

Para remediação, recomenda -se a implantação de soluções antivírus como o V3 do Ahnlab, que detecta variantes em assinaturas como conta -gotas/win.proxyware.c5783593 e indesejados/win.proxyware.c5790566.

O monitoramento contínuo dos indicadores de compromisso (COI) é crucial para os caçadores de ameaças, pois os invasores continuam refinando seus métodos.

Indicadores de compromisso (IOCs)

Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!