Οι κυβερνοεγκληματίες έχουν κλιμακώσει τις επιθέσεις proxyjacking εκμεταλλευόμενοι τη νόμιμη συμπεριφορά χρηστών που κατεβάζουν βίντεο από το YouTube, σύμφωνα με πρόσφατη ανάλυση ασφαλείας.
Η επίθεση αξιοποιεί ψεύτικες ιστοσελίδες λήψης βίντεο από το YouTube για τη διανομή κακόβουλου λογισμικού proxyware, στοχεύοντας ειδικά χρήστες που αναζητούν δωρεάν υπηρεσίες μετατροπής βίντεο.
Η εκστρατεία αυτή αντιπροσωπεύει μια σημαντική εξέλιξη στις επιθέσεις κλοπής εύρους ζώνης, όπου οι επιτιθέμενοι αποκομίζουν κέρδος από την παράνομη χρήση των διαδικτυακών πόρων μολυσμένων συστημάτων χωρίς τη συγκατάθεση των χρηστών.
Η κακόβουλη λειτουργία επικεντρώνεται σε παραπλανητικούς ιστότοπους που μιμούνται νόμιμες υπηρεσίες μετατροπής YouTube σε MP4.
Πώς παρασύρονται τα θύματα
Όταν οι χρήστες προσπαθούν να κατεβάσουν βίντεο πατώντας το κουμπί «Download Now», ανακατευθύνονται σε διαφημιστικές σελίδες που τους προτρέπουν να εγκαταστήσουν κακόβουλα εκτελέσιμα αρχεία.
Η αλυσίδα επίθεσης εκμεταλλεύεται την εμπιστοσύνη των χρηστών στη φαινομενικά νόμιμη λειτουργία λήψης, καθιστώντας την ιδιαίτερα αποτελεσματική εναντίον ανυποψίαστων θυμάτων που αναζητούν δωρεάν online υπηρεσίες.
Οι αναλυτές της ASEC εντόπισαν ότι οι ίδιοι δράστες που είχαν εμπλακεί παλαιότερα σε εκστρατείες διανομής proxyware DigitalPulse έχουν επεκτείνει τις δραστηριότητές τους ώστε να περιλαμβάνουν και αυτές τις ιστοσελίδες λήψης βίντεο από το YouTube.
Οι ερευνητές εντόπισαν πολλαπλά περιστατικά μόλυνσης στη Νότια Κορέα, γεγονός που υποδηλώνει μια συνεχιζόμενη και γεωγραφικά στοχευμένη καμπάνια.
Η επιχείρηση δείχνει αξιοσημείωτη επιμονή, με τους επιτιθέμενους να προσαρμόζουν συνεχώς τις μεθόδους διανομής, διατηρώντας τον βασικό στόχο του proxyjacking.
Η καμπάνια έχει μολύνει εκτιμώμενα 400.000 συστήματα Windows παγκοσμίως, αποφέροντας σημαντικά κέρδη στους κυβερνοεγκληματίες μέσω της μη εξουσιοδοτημένης χρήσης εύρους ζώνης.
Σε αντίθεση με τις παραδοσιακές επιθέσεις cryptojacking που εκμεταλλεύονται τους υπολογιστικούς πόρους για εξόρυξη κρυπτονομισμάτων, αυτή η παραλλαγή του proxyjacking αξιοποιεί το δίκτυο, δημιουργώντας μια σταθερή πηγή εσόδων από τα μολυσμένα συστήματα.
Το οικονομικό κίνητρο της επίθεσης τροφοδοτεί τη συνεχιζόμενη εξέλιξή της και τη γεωγραφική της επέκταση.
Αλυσίδα μόλυνσης και μηχανισμοί επιμονής
Η εγκατάσταση του κακόβουλου λογισμικού ακολουθεί μια σύνθετη, πολυεπίπεδη διαδικασία μόλυνσης, σχεδιασμένη να αποφεύγει την ανίχνευση ενώ εδραιώνει μόνιμη πρόσβαση στο σύστημα.
Κατά την εκτέλεση, ο κακόβουλος εγκαταστάτης εμφανίζεται ως «QuickScreenRecoder» (quick-screen-recorder.exe) αλλά ξεκινά αμέσως PowerShell scripts για την παράδοση του τελικού φορτίου.
Το αρχικό dropper πραγματοποιεί εκτενείς ελέγχους περιβάλλοντος, ανιχνεύοντας sandbox και εικονικές μηχανές πριν συνεχίσει την αλυσίδα μόλυνσης.
Καταχώριση εργασίας για επιμονή
- Όνομα εργασίας: Defrag DiskCleanup
- Εκτελέσιμο: «C:\Program Files\nodejs\node.exe»
- Ορίσματα: «C:\f888a3fc-f6dd-427d-8667-b81ea3946b76-90.5.44709.2197\c8c4ffcf-4b46-432f-b1d4-3383bf3fecf6.js» 9762
Ο μηχανισμός επιμονής βασίζεται στην εγγραφή στο Windows Task Scheduler με το παραπλανητικό όνομα «Defrag DiskCleanup», μιμούμενος τις νόμιμες εργασίες συντήρησης του συστήματος.
Αυτή η προγραμματισμένη εργασία εκτελεί κακόβουλο JavaScript μέσω NodeJS, δημιουργώντας επικοινωνία με servers command-and-control για λήψη πρόσθετων οδηγιών.
Για μολύνσεις παραλλαγής Honeygain, το κακόβουλο λογισμικό εγκαθιστά το «FastCleanPlus.exe» ως εκτελεστή, ο οποίος καλεί τη συνάρτηση hgsdk_start() μέσα στο «hgsdk.dll» χρησιμοποιώντας τα API credentials των επιτιθέμενων, αποδεικνύοντας την τεχνική πολυπλοκότητα και την προσαρμοστικότητα της καμπάνιας σε πολλαπλές πλατφόρμες proxyware.