유튜브 동영상 다운로드 사이트에서 유포 중인 Proxyware 악성코드
AhnLab Security intelligence Center(ASEC)은 과거 “광고 페이지를 통해 유포 중인 DigitalPulse Proxyware” [1] 블로그 포스팅을 통해 프리웨어 소프트웨어 사이트의 광고 페이지를 통해 Proxyware를 유포하는 공격 사례를 소개하였다. 동일한 공격자는 이후에도 지속적으로 Proxyware를 유포하고 있으며 국내에서도 다수의 감염 사례가 확인되어 최신 공격 사례 및 IoC를 공개한다. 최종적으로 설치되는 Proxyware는 과거 Proxyjacking 공격 캠페인에서 악용되었던 DigitalPulse의 Proxyware가 대부분이지만 이외에도 Honeygain의 Proxyware를 유포하는 사례도 함께 확인되고 있다.
1. Proxyjacking 공격
Proxyjacking 공격이란 사용자의 동의 없이 Proxyware를 설치하여 감염 시스템의 인터넷 대역폭 일부를 외부에 공유하는 방식으로 공격자들이 수익을 얻는 공격 방식이다. Proxyware란 설치된 시스템에서 현재 사용 가능한 인터넷 대역폭 일부를 외부에 공유하는 프로그램으로서 일반적으로 이를 설치하는 사용자는 대역폭을 제공하는 대신 일정한 금액을 받는다. 만약 공격자가 사용자의 동의 없이 감염 시스템에 Proxyware를 몰래 설치할 경우 감염된 시스템은 비자발적으로 네트워크 대역폭을 탈취당하게 되며 수익은 공격자에게 돌아가게 된다. 이는 Cryptojacking 공격과 유사한데 Proxyware 대신 코인 마이너를 설치하여 감염 시스템의 자원으로 암호 화폐를 채굴하는 것이 차이점이다.
Proxyjacking 공격은 ASEC 블로그뿐만 아니라 다른 여러 보안 업체들에 의해서도 보고되고 있으며 2023년에는 LevelBlue사에서 DigitalPulse라는 이름의 Proxyware를 설치하는 Proxyjacking 공격 캠페인이 소개되었다. 해당 사례에서는 최소 40만 대 이상의 윈도우 시스템을 감염시킨 것으로 알려졌다. [2] DigitalPulse Proxyware 공격 사례는 이전 블로그에서도 다루었다시피 국내에서도 다수 확인되고 있으며 최근에도 유사한 방식의 공격이 이루어지고 있다.
2. 유튜브 다운로드 페이지를 위장한 공격
사용자들 중에는 유튜브 동영상을 무료로 다운로드하기 위해 구글에서 관련 키워드를 검색하는 경우가 있다. 문제는 다음과 같은 웹 페이지에서 동영상을 다운로드하려고 시도할 때 악성코드가 다운로드된다는 점이다.
Figure 1. 유튜브 동영상 다운로드 페이지
사용자가 유튜브 동영상의 주소를 입력하면 다음과 같은 다운로드 버튼을 보여주는데 “Download Now” 버튼을 클릭할 경우 광고 페이지나 악성코드 다운로드 페이지로 리다이렉트된다.
Figure 2. 동영상 다운로드 위장 페이지와 악성코드 다운로드 페이지
공격자는 깃허브를 악성코드 배포지로 활용하였으며 다음과 같이 다수의 Repository에 악성코드들이 업로드되어 있다.
Figure 3. 깃허브에 업로드된 악성코드들
3. 악성코드 분석
Figure 4. 악성코드 설치 흐름도
악성코드의 동작 방식은 과거 사례와 동일하다. QuickScreenRecoder(quick-screen-recorder.exe)라는 이름의 설치 파일을 위장하는데 실제로는 파워쉘 스크립트를 실행하는 악성코드이다. 과거와 유사하게 샌드박스 및 가상 머신을 검사하는 루틴을 지나면 Proxyware를 설치하는 파워쉘 스크립트를 생성하고 실행한다. 이 과정에서 NodeJS를 설치하고 악성 자바스크립트를 다운로드하고 작업 스케줄러에 등록한다.
NodeJS를 통해 악성 자바스크립트를 실행하는 작업은 “DefragDiskCleanup”이라는 이름으로 등록된다. NodeJS를 통해 자바스크립트가 실행되면 C&C 서버에 접속하여 이전 사례와 동일한 포맷의 시스템의 기본적인 정보들을 전송한 후 응답에 따라 추가적인 명령을 실행한다. 다운로드된 응답은 최종적으로 Proxyware를 설치하는 파워쉘 명령이다.
Figure 5. 등록된 작업
다운로드 응답은 파워쉘 스크립트를 다운로드해 실행하는 파워쉘 명령으로서 대부분 DigitalPulse의 Proxyware 설치를 담당한다. 하지만 최근에는 Honeygain의 Proxyware를 설치하는 사례도 확인되고 있다. 공격자는 Honeygain의 Proxyware인 “hgsdk.dll”을 설치하고 이를 실행하는 런처 “FastCleanPlus.exe”를 작업 스케줄러에 등록한다.
Figure 6. Honeygain Proxyware가 포함된 압축 파일
런처는 다음과 같이 공격자의 API를 인자로 “hgsdk.dll”의 hgsdk_start() 함수를 호출하는 기능을 담당한다.
Figure 7. Honeygain Proxyware 런처의 루틴
5. 결론
최근 유튜브 동영상 다운로드 페이지를 통해 DigitalPulse 및 Honeygain Proxyware가 유포되고 있다. DigitalPulse는 과거 Proxyjacking 캠페인을 통해 최소 40만 대 이상의 윈도우 시스템들을 감염시킨 것으로 알려져 있으며 이번에 확인된 사례에서도 인증서는 다르지만 동일한 Proxyware가 사용되었다. Proxyware 악성코드는 시스템의 리소스를 이용해 수익을 얻는다는 점에서 코인 마이너와 유사하다.
사용자는 공식 홈페이지가 아닌 광고 및 팝업과 같은 의심스러운 웹 사이트나 자료 공유 사이트에서 실행 파일을 설치하는 행위를 주의해야 한다. 또한 이미 감염된 시스템의 경우 V3 제품을 설치하여 추가적인 악성코드 감염을 막아야 한다.
파일 진단
- Dropper/Win.Proxyware.C5783593 (2025.07.30.02)
- Unwanted/Win.Proxyware.R712792 (2025.07.14.00)
- Unwanted/Win.Proxyware.R716288 (2025.07.30.02)
- Trojan/Win.Proxyware.C5783607 (2025.07.30.02)
- Trojan/Win.Proxyware.C5783598 (2025.07.30.02)
- Downloader/Powershell.Proxyware.SC288772 (2025.07.20.00)
- Downloader/Powershell.Proxyware.SC287573 (2025.07.25.02)
- Downloader/JS.Proxyware.SC289893 (2025.07.29.00)
- Unwanted/Win.Proxyware.C5783612 (2025.07.30.02)
- Unwanted/Win.Proxyware.C5783613 (2025.07.30.02)
- Downloader/JS.Proxyware.SC290084 (2025.07.30.02)
- Downloader/JS.Proxyware.SC290112 (2025.07.31.00)
- Downloader/JS.Proxyware.SC290113 (2025.07.31.00)
- Downloader/Powershell.Proxyware.SC290085 (2025.07.30.02)
- Downloader/Powershell.Proxyware.SC290086 (2025.07.30.02)
- Downloader/Powershell.Proxyware.SC290087 (2025.07.30.02)
- Downloader/Powershell.Proxyware.SC290088 (2025.07.30.02)
행위 진단
- Execution/MDP.Powershell.M2514
