Los ciberdelincuentes han intensificado sus campañas proxyjacking al explotar el comportamiento legítimo del usuario alrededor de las descargas de video de YouTube, según un análisis de seguridad reciente.
El ataque aprovecha los sitios de descarga falsos de YouTube para distribuir el malware Proxyware, específicamente dirigido a los usuarios que buscan servicios de conversión de video gratuitos.
Esta sofisticada campaña representa una evolución significativa en los ataques de robo de ancho de banda, donde los actores de amenaza monetizan los recursos de red robados de sistemas infectados sin consentimiento del usuario.
La operación maliciosa se centra en sitios web engañosos que imitan los servicios legítimos de conversión de YouTube a MP4.
Página de descarga de video de YouTube (fuente – ASEC)
Cuando los usuarios intentan descargar videos haciendo clic en el botón “Descargar ahora”, se redirigen a páginas publicitarias que solicitan la instalación de ejecutables maliciosos.
La cadena de ataque explota la confianza del usuario en la funcionalidad de descarga aparentemente legítima, por lo que es particularmente efectiva contra las víctimas desprevenidas que buscan servicios en línea gratuitos.
Los analistas de ASEC identificaron que los mismos actores de amenaza previamente involucrados en las campañas de distribución de proxyware de DigitalPulse han ampliado sus operaciones para incluir estos sitios de descarga de YouTube.
Los investigadores descubrieron múltiples casos de infección en Corea del Sur, lo que indica una campaña sostenida y geográficamente enfocada.
La operación demuestra una persistencia notable, y los actores de amenaza adaptan continuamente sus métodos de distribución mientras mantienen el objetivo del proxyjacking central.
La campaña ha infectado aproximadamente 400,000 sistemas de Windows a nivel mundial, generando ganancias sustanciales para los ciberdelincuentes a través de la utilización no autorizada de ancho de banda.
A diferencia de los ataques tradicionales de criptojacking que explotan los recursos computacionales para la minería de criptomonedas, esta variante proxyjacking monetiza el ancho de banda de la red, creando un flujo de ingresos constante de los sistemas comprometidos.
La motivación financiera del ataque impulsa su continua evolución y expansión geográfica.
Cadena de infecciones y mecanismos de persistencia
La implementación de malware sigue un sofisticado proceso de infección en varias etapas diseñado para evadir la detección mientras establece el acceso persistente al sistema.
Diagrama de flujo de instalación de malware (fuente – ASEC)
Tras la ejecución, el instalador malicioso se disfraza de “QuickScreenRecoder” (Quick-Screen-ReCorder.exe) pero inicia inmediatamente los scripts de PowerShell para la entrega de la carga útil.
El gotero inicial realiza verificaciones integrales de entorno, escaneo para entornos de sandbox y máquinas virtuales antes de continuar con la cadena de infección.
# Registro de tareas para la persistencia Nombre de la tarea: DeFrag DiskCleanUp Ejecutable: “C: \ Archivos de programa \ nodejs \ node.exe” Argumentos: “C: \ F888a3fc-F6DD-427D-8667-B81EA3946B76-90.5.44709.2197 \ C8C4FFCF-4B46-432F-B1D4-3383BF3FECF6.JS” 976222
El mecanismo de persistencia se basa en el registro del planificador de tareas de Windows bajo el nombre engañoso “Defrag diskcleanup”, imitando tareas legítimas de mantenimiento del sistema.
Esta tarea programada ejecuta JavaScript malicioso a través de NodeJ, estableciendo la comunicación con los servidores de comando y control para recibir instrucciones adicionales de carga útil.
Para las infecciones por variantes de HoneyGain, el malware despliega “FastCleanPlus.exe” como un lanzador, que llama a la función HGSDK_START () dentro de “hgsdk.dll” utilizando las credenciales API del actor de amenaza, demostrando la sofisticación y adaptabilidad técnica de la campaña en múltiples plataformas de proxyware.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
