Proxyware malware w popularnych serwisach do pobierania filmów z YouTube – nowa kampania cyberprzestępców

Cyberprzestępcy stają się coraz bardziej kreatywni w wymyślaniu nowych sposobów dystrybucji złośliwego oprogramowania. Najnowsza kampania, wykryta przez badaczy bezpieczeństwa z AhnLab Security Intelligence Center (ASEC) potwierdza ten trend. Tym razem, atakujący postanowili wykorzystać popularne serwisy do pobierania filmów z YouTube, w celi propagacji złośliwego oprogramowania typu proxyware.

TLDR:

• Badacze bezpieczeństwa z AhnLab Security Intelligence Center (ASEC) wykryli nowy rodzaj ataku, w którym cyberprzestępcy infekują ofiary oprogramowaniem typu proxyware, podszywając się pod popularne serwisy pobierające filmy z YouTube.
• Użytkownik, wklejając link do filmu, zostaje przekierowany do serwisu, z którego automatycznie zostaje pobrany złośliwy plik wykonywalny (Setup.exe). Jego głównym przeznaczeniem jest instalacja malware.
• Infekcja odbywa się w sposób dyskretny, użytkownik nie jest świadomy, że stał się ofiarą ataku. 
• Po zakończeniu procesu instalacji, komputer ofiary staje się serwerem proxy, kontrolowanym przez atakującego.

Czym jest proxyware malware?

Opis ataku należy rozpocząć od wyjaśnienia, czym tak naprawdę jest proxyware. Proxyware to nic innego jak oprogramowanie lub serwer, pełniący funkcję bramy między użytkownikiem a Internetem. Zamiast nawiązania bezpośredniego połączenia z serwerem, użytkownik wysyła żądanie do serwera proxy, który w jego imieniu nawiązuje dwustronne połączenie między użytkownikiem a serwerem docelowym. 

Zastosowanie serwerów proxy jest stosunkowo popularne, m.in. do zwiększenia prywatności oraz poziomu bezpieczeństwa (poprzez maskowanie adresu IP), omijania blokad geograficznych. Osoby udostępniające swoją infrastrukturę często otrzymują rekompensatę finansową.

Proxyware malware to nic innego jak nielegalne wykorzystanie infrastruktury ofiary (bez jej zgody i  wiedzy) do anonimizacji ruchu sieciowego lub realizacji innych działań cyberprzestępczych.

Opis ataku

Schemat ataku został przedstawiony na poniższej grafice.

Pierwszym etapem ataku jest przygotowanie strony phishingowej, imitującej oryginalny serwis do pobierania filmów z YouTube. Po wprowadzeniu adresu filmu i kliknięciu przycisk download, co pewien czas (w losowym interwale) wyświetlany zostaje popup, który zamiast pobrać film, pobiera złośliwy plik wykonywalny Setup.exe.

Malware proxyware instaluje się w systemie, jako oprogramowanie WinMemoryCleaner.exe w lokalizacji %PROGRAMFILES%\WinMemoryCleaner. Po instalacji następuje uruchomienie skryptu WinMemoryCleanerUpdate.bat z argumentem /update. 

Przed pobraniem kolejnych ładunków, zostaje przeprowadzona analiza systemu pod kątem obecności m.in.: maszyn wirtualnych, sandboxów, oprogramowania antywirusowego, aby uniknąć wykrycia. Jeżeli system nie zawiera ww. oprogramowania, następuje instalacja Node.js, pobranie i uruchomienie złośliwego kodu JavaScript. Ponadto, w celu zapewnienia stałego połączenia z systemem ofiary, malware rejestruje dwa zadania w harmonogramie zadań systemu Windows Schedule Update and WindowsDeviceUpdates. Zadanie te mają na celu zapewnienie stałego połączenia z infrastrukturą atakujących.

Kod JavaScript, wykonywany przez Node.js odpowiada za instalację właściwego oprogramowanie proxyware. Dodatkowo, komunikuje się z serwerem Command & Control (C2), należącego do atakujących, w celu przesłania danych identyfikujących przejętą infrastrukturę (m.in.: adres IP, wersję systemu operacyjnego). W odpowiedzi, serwer C2 przesyła komendy sterujące dalszym rozwojem infekcji.

ońcowym etapem infekcji jest instalacja oprogramowania typu proxyware m.in.: Honeygain, DigitalPulse, Infatica. Celowo zastosowano różne rodzaje oprogramowania proxyware, aby utrudnić detekcję ataku oraz zwiększyć jego skuteczność.

Jak się chronić?

Ochrona przed tego typu zagrożeniami jest stosunkowo prosta. Nie należy korzystać z niepewnych serwisów. Takie miejsca niosą często ataki, które w początkowej fazie są niewykrywalne przez klasyczne skanery antywirusowe (bazujące na sygnaturach), a co za tym idzie należy stosować bardziej zaawansowane metody, np. EDR (Endpoint Detection and Response).

Najlepszym sposobem obrony jest ciągła edukacja oraz budowanie świadomości na temat aktualnych zagrożeń i wektorów ataku. Zachęcamy do wzięcia udziału w projekcie SOS (Sekurak o Security), gdzie tego typu ataki oraz wiele innych zagrożeń zostają zaprezentowane „od kuchni”. 

Źródło: asec.ahnlab.com, gbhackers.com 

~_secmike