Son bir güvenlik analizine göre, siber suçlular, YouTube video indirmeleri etrafında meşru kullanıcı davranışlarını kullanarak proxyJacking kampanyalarını artırdılar.
Saldırı, özellikle ücretsiz video dönüştürme hizmetleri arayan kullanıcıları hedefleyen proxyware kötü amaçlı yazılımları dağıtmak için sahte YouTube indirme sitelerini kullanır.
Bu sofistike kampanya, tehdit aktörlerinin çalınan ağ kaynaklarını kullanıcı izni olmadan enfekte sistemlerden para kazandığı bant genişliği hırsızlığı saldırılarında önemli bir evrimi temsil ediyor.
Kötü niyetli işlem, YouTube-MP4 dönüşüm hizmetlerini taklit eden aldatıcı web sitelerinin etrafında merkezlenir.
.webp)
Kullanıcılar “Şimdi İndir” düğmesini tıklayarak video indirmeye çalıştıklarında, kötü amaçlı yürütülebilir dosyaların yüklenmesini sağlayan reklam sayfalarına yönlendirilirler.
Saldırı zinciri, görünüşte meşru indirme işlevselliğine sahip kullanıcı güvenini kullanıyor ve bu da ücretsiz çevrimiçi hizmet arayan şüphesiz kurbanlara karşı özellikle etkili.
ASEC analistleri, daha önce DigitalPulse proxyware dağıtım kampanyalarına katılan aynı tehdit aktörlerinin operasyonlarını bu YouTube indirme sitelerini içerecek şekilde genişlettiğini belirledi.
Araştırmacılar, Güney Kore’de sürekli ve coğrafi olarak odaklanmış bir kampanyayı gösteren birden fazla enfeksiyon vakası keşfettiler.
Operasyon, çekirdek proxyJacking hedefini korurken tehdit aktörleri dağıtım yöntemlerini sürekli olarak uyarlarken dikkate değer bir kalıcılık göstermektedir.
Kampanya, küresel olarak tahmini 400.000 Windows sistemini bulaştı ve yetkisiz bant genişliği kullanımı yoluyla siber suçlular için önemli karlar üretti.
Kripto para birimi madenciliği için hesaplama kaynaklarından yararlanan geleneksel kriptaj saldırılarının aksine, bu proxyJacking varyantı ağ bant genişliğinden para kazanarak uzlaşmış sistemlerden istikrarlı bir gelir akışı oluşturur.
Saldırının finansal motivasyonu, sürekli evrimini ve coğrafi genişlemesini yönlendiriyor.
Enfeksiyon zinciri ve kalıcılık mekanizmaları
Kötü amaçlı yazılım dağıtım, kalıcı sistem erişimi oluştururken tespitten kaçınmak için tasarlanmış sofistike çok aşamalı bir enfeksiyon sürecini takip eder.
.webp)
Yürütme üzerine, kötü niyetli yükleyici “QuickScreenRecoder” (Quickscreen-Recorder.exe) olarak maskelenir, ancak yük dağıtım için PowerShell komut dosyalarını hemen başlatır.
İlk damlalık, enfeksiyon zincirine devam etmeden önce kapsamlı ortam kontrolleri, sanal alan ortamları ve sanal makineler için tarama yapar.
# Task registration for persistence
Task Name: Defrag DiskCleanup
Executable: "C:\Program Files\nodejs\node.exe"
Arguments: "C:\f888a3fc-f6dd-427d-8667-b81ea3946b76-90.5.44709.2197\c8c4ffcf-4b46-432f-b1d4-3383bf3fecf6.js" 9762Kalıcılık mekanizması, meşru sistem bakım görevlerini taklit eden aldatıcı adı “Defrag DiskCleanup” adlı aldatıcı adı altında Windows Görev Zamanlayıcı kaydına dayanmaktadır.
Bu planlanan görev, nodejs aracılığıyla kötü amaçlı JavaScript yürütür ve ek yük talimatları almak için komut ve kontrol sunucuları ile iletişim kurar.
Honeygain varyant enfeksiyonları için, kötü amaçlı yazılım, “fastCleanPlus.exe” i bir başlatıcı olarak dağıtır, bu da hgsdk_start() Tehdit Actor’ın API kimlik bilgilerini kullanarak “hgsdk.dll” içindeki işlev, kampanyanın teknik karmaşıklığını ve birden fazla proxyware platformunda uyarlanabilirliğini gösteriyor.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.