Achtung: Proxyware-Malware über YouTube-Downloader erklärt

Das AhnLab Security Intelligence Center (ASEC) berichtet in einem Blogbeitrag über eine neue Angriffsmethode, bei der Proxyware über die Werbeanzeigen einer Freeware-Website verbreitet wird. Der verantwortliche Angreifer setzt seine Aktivitäten fort; in Südkorea wurden bereits mehrere Infektionsfälle registriert. Der Bericht enthält aktuelle Angriffsszenarien sowie Indikatoren für eine Kompromittierung (IoCs).

Bei den Angriffen kommt überwiegend Proxyware des Anbieters DigitalPulse zum Einsatz, die bereits in früheren Proxyjacking-Kampagnen genutzt wurde. In einigen Fällen wurde jedoch auch Software von Honeygain verteilt.

Proxyjacking: Bandbreite wird unbemerkt abgezweigt

Proxyjacking bezeichnet eine Angriffsmethode, bei der Cyberkriminelle ohne Zustimmung der Betroffenen Proxyware auf deren Systemen installieren. Diese Software leitet Teile der Internetbandbreite an externe Parteien weiter. Normalerweise erhalten Nutzer, die Proxyware bewusst installieren, eine finanzielle Gegenleistung. Erfolgt die Installation jedoch unbemerkt, profitieren allein die Angreifer, während die Ressourcen der Opfer heimlich missbraucht werden.

Das Vorgehen ähnelt dem bekannten Cryptojacking. Statt Kryptowährungen zu schürfen, nutzen die Angreifer hier die Bandbreite der infizierten Systeme.

Mehrere Sicherheitsunternehmen, darunter ASEC, haben Proxyjacking-Angriffe dokumentiert. Bereits 2023 entdeckte LevelBlue eine groß angelegte Kampagne mit der Proxyware DigitalPulse, die rund 400.000 Windows-Systeme infizierte. Auch in Korea wurden mehrfach entsprechende Angriffe gemeldet – und sie dauern an.

Als YouTube-Download-Seiten getarnte Angriffe

Einige Nutzer suchen bei Google nach relevanten Stichwörtern, um YouTube-Videos kostenlos herunterzuladen. Das Problem dabei ist, dass beim Versuch, Videos von Websites wie der unten abgebildeten herunterzuladen, Malware heruntergeladen wird.

YouTube-Videodownload-Seite Grafik Quelle: AhnLab Security Intelligence Center

Wenn ein Nutzer die URL eines YouTube-Videos eingibt, zeigt die Website einen Download-Button an. Durch Klicken auf den Button „Jetzt herunterladen“ werden Nutzer auf eine Werbeseite oder eine Seite weitergeleitet, auf der sie zum Download von Malware aufgefordert werden.

Gefälschte Videodownload-Seite und Malware-Download-Seite Grafik Quelle: AhnLab Security Intelligence Center

Der Angreifer nutzte GitHub als Plattform zur Verbreitung von Malware. Im Folgenden sind mehrere Repositorys aufgeführt, in denen Malware-Varianten hochgeladen wurden.

Auf GitHub hochgeladene Malware Grafik Quelle: AhnLab Security Intelligence Center

Malware analysieren

Flussdiagramm der Malware-Installation Grafik Quelle: AhnLab Security Intelligence Center

Die Funktionsweise der Malware entspricht früheren Fällen. Sie tarnt sich als Installationsdatei mit dem Namen „QuickScreenRecoder“ (quick-screen-recorder.exe), führt jedoch tatsächlich ein PowerShell-Skript aus. Ähnlich wie in früheren Fällen erstellt und führt sie nach der Überprüfung auf Sandboxes und virtuelle Maschinen ein PowerShell-Skript aus, um Proxyware zu installieren. Dabei installiert sie NodeJS, lädt schädliches JavaScript herunter und registriert es im Taskplaner.

Die Aufgabe, bösartiges JavaScript über NodeJS auszuführen, wird unter dem Namen „DefragDiskCleanup“ registriert. Wenn JavaScript über NodeJS ausgeführt wird, verbindet es sich mit dem C&C-Server, überträgt grundlegende Informationen über das System im gleichen Format wie im vorherigen Fall und führt dann basierend auf der Antwort zusätzliche Befehle aus. Die heruntergeladene Antwort ist letztendlich ein PowerShell-Befehl, der Proxyware installiert.

Registrierte Aufgabe Grafik Quelle: AhnLab Security Intelligence Center

Die Download-Antwort ist ein PowerShell-Befehl, der ein PowerShell-Skript herunterlädt und ausführt, das für die Installation der Proxyware von DigitalPulse verantwortlich ist. Es gab jedoch Fälle, in denen stattdessen die Proxyware von Honeygain installiert wurde. Der Angreifer installiert die Proxyware „hgsdk.dll“ von Honeygain und registriert einen Launcher namens „FastCleanPlus.exe“ im Taskplaner, um sie auszuführen.

Komprimierte Datei mit Honeygain Proxyware Grafik Quelle: AhnLab Security Intelligence Center

Der Launcher ist dafür verantwortlich, die Funktion hgsdk_start() von „hgsdk.dll“ mit der API des Bedrohungsakteurs als Argument aufzurufen.

Routine des Honeygain Proxyware-Startprogramms Grafik Quelle: AhnLab Security Intelligence Center

Fazit

Kürzlich wurden DigitalPulse und Honeygain Proxyware über eine YouTube-Video-Download-Seite verbreitet. DigitalPulse ist dafür bekannt, dass es durch eine frühere Proxyjacking-Kampagne mindestens 400.000 Windows-Systeme infiziert hat. In diesem aktuellen Fall wurde ein anderes Zertifikat verwendet, aber dieselbe Proxyware. Die Proxyware-Malware ähnelt Coinminern, da sie die Ressourcen des Systems nutzt, um Gewinne zu erzielen.

Benutzer sollten vorsichtig sein bei Verhaltensweisen wie der Installation von ausführbaren Dateien von verdächtigen Websites oder Filesharing-Seiten, die keine offiziellen Websites sind und Werbung und Pop-ups anzeigen. Wenn ein System bereits infiziert ist, muss das V3-Produkt installiert werden, um weitere Malware-Infektionen zu verhindern.

File Detection