Youtube 動画ダウンロードサイトで配布されている Proxyware マルウェア

AhnLab Security intelligence Center(ASEC)は、過去の「広告ページを通じて配布されている DigitalPulse Proxyware」[1] ブログを通じてフリーウェアソフトウェアサイトの広告ページを通じて Proxyware を配布する攻撃事例を紹介した。同じ攻撃者はその後も継続的に Proxyware を配布しており、韓国国内でも多数の感染事例が確認されているため、最新の攻撃事例および IoC を公開する。最終的にインストールされる Proxyware は、過去の Proxyjacking 攻撃キャンペーンで悪用されていた DigitalPulse の Proxyware が大半を占めるが、このほかにも Honeygain の Proxyware を配布する事例もともに確認されている。

1. Proxyjacking 攻撃

Proxyjacking 攻撃とは、ユーザーの同意なしに Proxyware をインストールし、感染システムのインターネット帯域幅の一部を外部に共有する方式で、攻撃者が収益を得る攻撃方式である。Proxyware とは、インストールされたシステムで現在使用できるインターネット帯域幅の一部を外部に共有するプログラムであり、一般的にこれをインストールするユーザーは、帯域幅を提供する代わりに一定の金額を受け取る。もし、攻撃者がユーザーの同意なしに感染システムに Proxyware をひそかにインストールした場合、感染したシステムは非自発的にネットワーク帯域幅を奪われ、収益は攻撃者に渡る。これは Cryptojacking 攻撃と類似しており、Proxyware の代わりにコインマイナーをインストールして感染システムのリソースで仮想通貨をマイニングすることが違いである。

Proxyjacking 攻撃は ASEC ブログだけでなく、他のセキュリティ企業によっても報告されており、2023年には LevelBlue 社で DigitalPulse という名前の Proxyware をインストールする Proxyjacking 攻撃キャンペーンが紹介された。この事例では、最低でも40万台以上の Windows システムを感染させたものと知られている。[2] DigitalPulse Proxyware の攻撃事例は、以前のブログでもお伝えした通り、韓国国内でも多数確認されており、近年、にも類似した方式の攻撃が行われている。

2. Youtube ダウンロードページに偽装した攻撃

ユーザーの中には、Youtube 動画を無料でダウンロードするために Google で関連キーワードを検索する場合がある。問題は、以下のような Web ページで動画をダウンロードしようとすると、マルウェアがダウンロードされるという点である。

図1. Youtube 動画ダウンロードページ

ユーザーが Youtube 動画のアドレスを入力すると、以下のようなダウンロードボタンを表示するが、「Download Now」ボタンをクリックすると、広告ページやマルウェアダウンロードページにリダイレクトされる。

図2. 動画ダウンロードに偽装したページとマルウェアダウンロードページ

攻撃者は、Github をマルウェアの配布地として活用しており、以下のように多数の Repository にマルウェアがアップロードされている。

図3. Github にアップロードされたマルウェア

3. マルウェアの分析

図4. マルウェアインストールフロー

マルウェアの動作方式は、過去の事例と同様である。「QuickScreenRecoder(quick-screen-recorder.exe)」という名前のインストーラに偽装しているが、実際には PowerShell スクリプトを実行するマルウェアである。過去の事例と同様に、Sandbox および仮想マシンをチェックするルーチンを通過すると、Proxyware をインストールする PowerShell スクリプトを作成して実行する。この過程で NodeJS をインストールし、悪意のある JavaScript をダウンロードして、タスクスケジューラーに登録する。

NodeJS を通じて悪意のある JavaScript を実行するタスクは、「DefragDiskCleanup」という名前で登録される。NodeJS を通じて JavaScript が実行されると、C&C サーバーに接続して以前の事例と同じフォーマットでシステムの基本的な情報を送信したあと、応答に応じてさらなるコマンドを実行する。ダウンロードされた応答は、最終的に Proxyware をインストールする PowerShell コマンドである。

図5. 登録されたタスク

ダウンロード応答は PowerShell スクリプトをダウンロードして実行する PowerShell コマンドであり、大半は DigitalPulse の Proxyware インストールを担っている。しかし、近年、には Honeygain の Proxyware をインストールする事例も確認されている。攻撃者は、Honeygain の Proxyware である「hgsdk.dll」をインストールし、これを実行するランチャー「FastCleanPlus.exe」をタスクスケジューラーに登録する。

図6. Honeygain Proxyware が含まれた圧縮ファイル

ランチャーは、以下のように攻撃者の API を引数に「hgsdk.dll」の hgsdk_start() 関数を呼び出す機能を担う。

図7. Honeygain Proxyware ランチャーのルーチン

5. 結論

近年、Youtube 動画ダウンロードページを通じて DigitalPulse および Honeygain Proxyware が配布されている。DigitalPulse は、過去の Proxyjacking キャンペーンによって最低でも40万台以上の Windows システムを感染させたものと知られており、今回確認された事例でも、証明書は異なるが同じ Proxyware が使用された。Proxyware マルウェアは、システムのリソースを利用して収益を得るという点で、コインマイナーと類似している。

ユーザーは、公式ホームページ以外の広告やポップアップのような疑わしい Web サイトや、資料共有サイトから実行ファイルをインストールする行為に注意する必要がある。また、すでに感染したシステムの場合は V3 製品をインストールし、さらなるマルウェア感染を防ぐ必要がある。

ファイル検知

• Dropper/Win.Proxyware.C5783593 (2025.07.30.02)
• Unwanted/Win.Proxyware.R712792 (2025.07.14.00)
• Unwanted/Win.Proxyware.R716288 (2025.07.30.02)
• Trojan/Win.Proxyware.C5783607 (2025.07.30.02)
• Trojan/Win.Proxyware.C5783598 (2025.07.30.02)
• Downloader/Powershell.Proxyware.SC288772 (2025.07.20.00)
• Downloader/Powershell.Proxyware.SC287573 (2025.07.25.02)
• Downloader/JS.Proxyware.SC289893 (2025.07.29.00)
• Unwanted/Win.Proxyware.C5783612 (2025.07.30.02)
• Unwanted/Win.Proxyware.C5783613 (2025.07.30.02)
• Downloader/JS.Proxyware.SC290084 (2025.07.30.02)
• Downloader/JS.Proxyware.SC290112 (2025.07.31.00)
• Downloader/JS.Proxyware.SC290113 (2025.07.31.00)
• Downloader/Powershell.Proxyware.SC290085 (2025.07.30.02)
• Downloader/Powershell.Proxyware.SC290086 (2025.07.30.02)
• Downloader/Powershell.Proxyware.SC290087 (2025.07.30.02)
• Downloader/Powershell.Proxyware.SC290088 (2025.07.30.02)

振る舞い検知

• Execution/MDP.Powershell.M2514