Proxyware kötü amaçlı yazılım, YouTube video indirme sitesi olarak pozer ve kötü amaçlı javascript sunar

Ahnlab Güvenlik İstihbarat Merkezi’ndeki (ASEC) siber güvenlik araştırmacıları, saldırganların sahte YouTube video indirme sayfaları aracılığıyla proxyware kötü amaçlı yazılım dağıttığı kalıcı bir kampanya ortaya çıkardılar.

Meşru video indirme hizmetlerini taklit eden bu işlem, kullanıcıları WinMemoryCleaner gibi iyi huylu araçlar olarak gizlenmiş kötü niyetli yürütülebilir ürünleri yüklemeye indirir.

Saldırganlar, özellikle Güney Kore’de yaygın enfeksiyonlara yol açan önceki olaylarla tutarlı bir taktik olan kötü amaçlı yazılım barındırma için GitHub’dan yararlanıyor.

YouTube içeriğini kullanıcı aramalarından yararlanarak, kötü amaçlı yazılım, pop-up reklamlar veya rastgele olasılıkla görünen doğrudan indirme bağlantıları aracılığıyla yayılır ve gündelik algılamadan kaçınan gizli bir enfeksiyon zinciri sağlar.

Enfeksiyon mekaniği

Saldırı, kullanıcılar hileli siteye bir YouTube video URL’si girdiğinde ve zaman zaman setup.exe adlı kötü amaçlı bir yürütülebilir dosyaya yönlendiren indir düğmesini tıkladığında başlar.

Bu dosya, indirici kötü amaçlı yazılımlarını WinMemoryCleaner.exe’yi %\ winMemoryCleaner dizinine %programFiles’e yükler ve bir “//güncelleme” argümanıyla çalıştırmak için bir toplu komut dosyası olan winMemoryCleanerupdate.bat’ı yürütür.

Kötü amaçlı yazılım, node.js yükleyen ve ek JavaScript yüklerini indiren bir PowerShell komut dosyasını dağıtmadan önce sanal makineler ve kum havuzları için tarama anti-analiz tekniklerini içerir.

Bu komut dosyaları, “Zamanlama Güncellemesi” ve “WindowsDeviceUpdates” gibi görevler altında görev zamanlayıcısı aracılığıyla planlanır ve periyodik yürütme sağlar.

JavaScript, UUID, IP adresi ve coğrafi konum gibi sistem ayrıntılarını aktararak bir komut ve kontrol (C&C) sunucusu ile iletişim kurar ve karşılığında PowerShell komutlarını alır.

Bu komutlar, DigitalPulse, Honeygain ve yeni gözlemlenen Infatica dahil olmak üzere proxyware varyantlarının kurulumunu kolaylaştırır, bu da kurbanın yetkisiz proxy hizmetleri için ağ bant genişliğini ele geçirir.

Örneğin, Infatica varyantı, infaticca_agent.dll’yi sifon bant genişliğine yükleyen CleanZilo.exe’yi dağıtır ve enfekte sistemin performansını düşürürken saldırganları kazanır.

Daha geniş sonuçlar

Bu kampanya, saldırganların, kriptojiklere benzeyen ancak CPU döngülerinden ziyade ağ kaynaklarına odaklanan yasadışı kazançlar için meşru bant genişliği paylaşım araçlarını yeniden kullandığı proxyware tehditlerindeki bir evrimi temsil ediyor.

Kullanıcıların ödül kazandığı gönüllü kurulumlardan farklı olarak, bu enfeksiyonlar, tehdit aktörlerine kâr elde edilen karlar ile mağdurların bağlantılarından istemsiz olarak para kazanır.

Son vakalar, proxyware tiplerinde, digitalPulse ve Honeygain’den Infatica’ya kadar çeşitlendirme göstermektedir, bu da uyarlanabilir taktikleri, tespiti atlamak için gösteriyor.

ASEC, Güney Kore’deki sistemlerin ana hedefler olduğunu ve kötü amaçlı yazılımların çevre kontrolleri ve senaryo kalıcılığı gibi kaçınma yöntemlerini kullandığını bildiriyor.

Buna karşı koymak için kullanıcılar, reklam yüklü siteler ve pop-up’lar da dahil olmak üzere doğrulanmamış kaynaklardan yürütülebilir dosyalardan kaçınmalıdır.

İyileştirme için, Dropper/Win.proxyware.c5783593 ve istenmeyen/win.proxyware.c5790566 gibi imzalar altında varyantları algılayan Ahnlab’ın V3 gibi antivirüs çözümlerinin dağıtılması önerilir.

Saldırganlar yöntemlerini geliştirmeye devam ettikçe, uzlaşma göstergelerinin (IOC’ler) sürekli izlenmesi tehdit avcıları için çok önemlidir.

Uzlaşma Göstergeleri (IOCS)

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!