Youtube 動画ダウンロードサイトで配布されている Proxyware マルウェア – 2

AhnLab SEcurity intelligence Center(ASEC)は、以下のブログを通じて Youtube ダウンロードページに偽装したサイトで Proxyware マルウェアが配布される事例を紹介した。攻撃方式やインストールされるマルウェアは類似しているが、同じ攻撃者がマルウェアを配布し続けているため、多数のシステムが感染しており、最新の攻撃事例を整理する。

• 広告ページを通じて拡散している DigitalPulse Proxyware
• Youtube 動画ダウンロードサイトで配布されている Proxyware マルウェア

図1. 攻撃フロー

1. 配布方式

ユーザーは Youtube 動画をダウンロードする目的で検索しているうちに、以下のような Youtube ダウンロードページに接続することがある。このページで Youtube 動画のアドレスを入力し、動画ダウンロードボタンをクリックすると、動画ファイルをダウンロードできるが、問題は、ランダムな確率で広告ページまたは Proxyware をダウンロードするページがポップアップする可能性がある。参考に、攻撃者は以前の事例と同じように、Github にマルウェアをアップロードしたことが特徴である。

図2. Youtube ダウンロードページおよびマルウェアダウンロードリンク

「Download」ボタンをクリックするとダウンロードされる実行ファイルは WinMemoryCleaner に偽装しており、内部に Proxyware をインストールする機能が含まれている。

図3. WinMemoryCleaner に偽装したマルウェア

図4. マルウェアと共にインストールされる WinMemoryCleaner ツール

インストールファイル「Setup.exe」は「%PROGRAMFILES%\WinMemoryCleaner」パスにダウンローダーマルウェア「WinMemoryCleaner.exe」をインストールし、「WinMemoryCleanerUpdate.bat」を実行する。「WinMemoryCleanerUpdate.bat」はダウンロードマルウェア「WinMemoryCleaner.exe」を「/update」引数と共に実行する機能を担う。

図5. ダウンローダーマルウェアのインストールパス

2. Proxyware インストールマルウェア

「WinMemoryCleaner.exe」は、以前の事例と同様に仮想マシンおよび Sandbox 環境をチェックし、PowerShell スクリプトを実行する。PowerShell スクリプトは、NodeJS をインストールし、JavaScript マルウェアをダウンロードした後、タスクスケジューラーに登録する機能を担うが、過去とは異なり、最近では2つのタスクを登録する。登録されるタスクは、それぞれ「Schedule Update」と「WindowsDeviceUpdates」である。

図6.

以前の事例と同様な分析妨害手法

図7. 登録された2つのタスク

タスクスケジューラに登録され、定期的に NodeJS を通じて実行される不正な JavaScript が、実質的に Proxyware のインストールを担っている。JavaScript は C&C サーバーに以下のような基本的な情報を送信し、レスポンスで PowerShell コマンドを受け取った場合は実行することができる。レスポンスで受け取る PowerShell コマンドには、別の不正な JavaScript をインストールするコマンドや、最終的な Proxyware をインストールするコマンドがある。

図8. C&C サーバーに伝達する情報

3. Proxyware

Proxyware とは、インストールされたシステムが現在使用可能なインターネット帯域幅の一部を外部に共有するプログラムであり、一般的にこれをインストールするユーザーは帯域幅を提供する代わりに一定の金額を受け取る。現在扱っている攻撃事例のように、もし攻撃者がユーザーの同意なしに感染システムに Proxyware を密かにインストールした場合、感染システムは非自発的にネットワーク帯域幅を奪われることになり、収益は攻撃者に渡る。

Youtube のダウンロードページに偽装してマルウェアを配布している攻撃者は、過去に DigitalPulse の Proxyware をインストールしており、Honeygain の Proxyware をインストールした事例も以前のポスティングで取り扱った。既存の Proxyware をインストールする事例は発生し続けているが、最近では Infatica の Proxyware をインストールする事例がさらに確認されている。

C&C サーバーから受け取った PowerShell コマンドは、以下のように CleanZiloApp というプログラムをインストールし、「LAN Network Status」という名前でタスクに登録する。最終的に実行される「CleanZilo.exe」は実行時、同じパスに位置する Infatica の Proxyware である「infatica_agent.dll」をロードして実行し、これによりユーザーはネットワーク帯域幅を奪われる。

図9. Infatica Proxyware インストールマルウェア

4. 結論

近年、Youtube 動画のダウンロードページを通じて様々な Proxyware が配布されている。過去 DigitalPulse および HoneyGain Proxyware をインストールした攻撃者は、その他にも Infatica Proxyware をインストールしている。Proxyware マルウェアは、システムのリソースを利用して収益を得るという点でコインマイナーと類似しており、近年、韓国国内の多数のシステムが攻撃対象となっている。

ユーザーは、公式ホームページではなく広告やポップアップなどの疑わしい Web サイトや、データ共有サイトの実行ファイルをインストールする行為に注意を払う必要がある。また、すでに感染したシステムの場合は V3 製品をインストールし、さらなるマルウェア感染を防がなければならない。

[V3 検知名]

• Dropper/Win.Proxyware.C5783593 (2025.07.30.02)
• Dropper/Win.Proxyware.C5790716 (2025.08.21.02)
• Downloader/Win.Proxyware.C5790717 (2025.08.21.02)
• Downloader/JS.Proxyware.SC291256 (2025.08.21.02)
• Downloader/JS.Proxyware.SC291257 (2025.08.21.02)
• Downloader/JS.Proxyware.SC291258 (2025.08.21.02)
• Downloader/JS.Proxyware.SC291259 (2025.08.21.02)
• Downloader/Powershell.Proxyware.SC291260 (2025.08.21.02)
• Downloader/Powershell.Proxyware.SC291261 (2025.08.21.02)
• Downloader/Powershell.Proxyware.SC291262 (2025.08.21.02)
• Downloader/JS.Downloader.SC291265 (2025.08.21.03)
• Downloader/Powershell.Proxyware.SC291266 (2025.08.21.03)
• Unwanted/Win.Proxyware.C5790566 (2025.08.21.02)
• Unwanted/Win.Proxyware.C5790567 (2025.08.21.02)
• Dropper/Win.Proxyware.R707337 (2025.08.25.03)
• Downloader/Win.Proxyware.C5791871 (2025.08.25.03)
• Downloader/JS.Proxyware.SC291355 (2025.08.25.03)