Popüler YouTube Video İndir Hizmetlerinde Proxyware Campaion Piggybacks

Ahnlab Güvenlik İstihbarat Merkezi (ASEC), ücretsiz yazılım sitelerinde aldatıcı reklamlardan yararlanan tehdit aktörleri tarafından yeni proxyware dağıtım örneklerini ortaya çıkarmıştır.

“Reklam Sayfaları aracılığıyla dağıtılan DigitalPulse Proxyware” analizi gibi önceki raporlar üzerine inşa edilen bu kampanya, DigitalPulse ve Honeygain gibi yetkisiz bant genişliği paylaşım araçları kurarak Güney Kore’deki farkında olmayan kullanıcıları kullanmaya devam ediyor.

Bu saldırılar, kötü niyetli aktörlerin, kurbanların internet kaynaklarını rızası olmadan para kazanmak için, kripto para madenciliği için hesaplamalı güç yerine ağ bant genişliğine odaklanarak, kurbanların internet kaynaklarını rızası olmadan para kazanması için proxyware dağıttıkları proxyjacking’i örneklemektedir.

ProxyJacking, bir sistemin bant genişliğinin bir kısmını tazminat karşılığında harici varlıklara tahsis etmek için tasarlanmış proxyware’in yasadışı kurulumunu içerir.

Sabit olmayan bir şekilde konuşlandırıldığında, bant genişliği hırsızlığı ile sonuçlanır ve karlar saldırganlara yönelir.

Tarihsel emsaller arasında Level Blue tarafından belgelenen ve DigitalPulse üzerinden 400.000’den fazla Windows sistemini tehlikeye atan bir 2023 kampanyası bulunmaktadır.

ASEC’in izlemesi, son enfeksiyonların benzer taktikler kullandığı, ancak Honeygain’in proxyware gibi varyantları birleştirmesi ile Kore’de sürekli faaliyeti ortaya koyuyor.

YouTube Video İndirme Sayfaları

Tehdit aktörleri, kötü amaçlı yazılımları meşru YouTube video indiricileri olarak maskelendiriyor ve arama motorları aracılığıyla ücretsiz araç arayan kullanıcılardan yararlanıyor.

Video URL karşılaşan kurbanlar, reklam yüklü sayfalara veya doğrudan kötü amaçlı yazılım indirmelerine yönlendiren bir “Şimdi İndir” düğmesi sunan iyi huylu siteler.

Github depolarını bir dağıtım vektörü olarak kullanan saldırganlar, enfeksiyon zincirini başlatan yürütülebilir dosyalar yükler.

Genellikle “QuickScreenRecorder.exe” olarak gizlenen kötü amaçlı yazılım, proxyware yüklemeye devam etmeden önce kum havuzları ve sanal makineler için anti-analiz kontrolleri gerçekleştiren bir PowerShell komut dosyası yürütür.

Enfeksiyon akış şeması önceki olaylarla tutarlı kalır: Kaçma rutinlerinden sonra komut dosyası Nodejs’i yükler, kötü niyetli JavaScript getirir ve “DEFRAGDISKCLeanup” gibi adlar altında görevleri planlar.

Bu JavaScript, komut ve kontrol (C&C) sunucuları ile iletişim kurar, sistem telemetrisini aktarır ve proxyware’i dağıtmak için PowerShell komutları alır.

Çoğu durumda, DigitalPulse yüklenir, ancak varyantlar Honeygain’in “hgsdk.dll” i tanıtmaktadır.

Başlatıcı, saldırganın API tuşunu kullanarak DLL’nin HGSDK_START () işlevini çağırır ve bant genişliği paylaşımını etkinleştirir.

Kötü amaçlı yazılım analizi

Ayrıntılı diseksiyon, PowerShell komut dosyaları indirme ve yürütmeleri işleyen kötü amaçlı yazılımların modüler tasarımını gösterir.

C&C sunucularından gelen yanıtlar, genellikle bal şekeri bileşenlerini içeren sıkıştırılmış arşivleri getirme komutlarını içerir.

ASEC’den algılama imzaları arasında Dropper/Win.proxyware.c5783593 ve yürütme/mdp.powershell.m2514 gibi davranışsal göstergeler bulunur ve sağlam uç nokta koruması ihtiyacını vurgular.

Bu kampanya, reklamlar ve pop-up’larla gayri resmi kaynaklardan indirme risklerinin altını çiziyor. Kullanıcılar site özgünlüğünü doğrulamalı ve enfeksiyonları taramak için V3 gibi güvenlik çözümlerini kullanmalıdır.

ProxyJacking geliştikçe, yerleşik kötü amaçlı yazılım aileleriyle harmanlama, uzlaşma göstergelerinin proaktif izlenmesi (IOC’ler) bu kaynak kapsayan tehditleri önlemek için çok önemlidir.

Uzlaşma Göstergeleri (IOCS)

AWS Security Services: 10-Point Executive Checklist - Download for Free