유튜브 동영상 다운로드 사이트에서 유포 중인 Proxyware 악성코드 – 2
AhnLab SEcurity intelligence Center(ASEC)은 다음 블로그 포스팅들을 통해 유튜브 다운로드 페이지를 위장한 사이트에서 Proxyware 악성코드가 유포되는 사례들을 다루었다. 공격 방식이나 설치되는 악성코드들은 유사하지만 동일한 공격자가 지속적으로 악성코드를 유포하여 다수의 시스템들이 감염되고 있음에 따라 최신 공격 사례들을 정리한다.
Figure 1. 공격 흐름도
1. 유포 방식
사용자들은 유튜브 동영상을 다운로드하기 위한 목적으로 검색하던 중 다음과 같은 유튜브 다운로드 페이지에 접속할 수 있다. 해당 페이지에서 유튜브 동영상의 주소를 입력하고 동영상 다운로드 버튼을 클릭하면 동영상 파일을 다운로드할 수 있는데 문제는 랜덤한 확률로 광고 페이지 또는 Proxyware를 다운로드하는 페이지가 팝업될 수 있다. 참고로 공격자는 이전 사례들과 유사하게 깃허브에 악성코드를 업로드한 것이 특징이다.
Figure 2. 유튜브 다운로드 페이지 및 악성코드 다운로드 링크
“Download” 버튼을 클릭할 경우 다운로드되는 실행 파일은 WinMemoryCleaner를 위장하며 내부에 Proxyware를 설치하는 기능이 함께 포함되어 있다.
Figure 3. WinMemoryCleaner를 위장한 악성코드
Figure 4. 악성코드와 함께 설치되는 WinMemoryCleaner 도구
설치 파일 “Setup.exe”는 “%PROGRAMFILES%\WinMemoryCleaner” 경로에 다운로더 악성코드 “WinMemoryCleaner.exe”를 설치하고 “WinMemoryCleanerUpdate.bat”를 실행한다. “WinMemoryCleanerUpdate.bat”는 다운로드 악성코드 “WinMemoryCleaner.exe”를 “/update” 인자와 함께 실행하는 기능을 담당한다.
Figure 5. 다운로더 악성코드 설치 경로
2. Proxyware 설치 악성코드
“WinMemoryCleaner.exe”는 이전 사례와 동일하게 가상 머신 및 샌드박스 환경을 검사하고 파워쉘 스크립트를 실행한다. 파워쉘 스크립트는 NodeJS를 설치하고 JavaScript 악성코드를 다운로드한 뒤 작업 스케줄러에 등록하는 기능을 담당하는데 과거와 달리 최근에는 2개의 작업을 등록한다. 등록되는 작업은 각각 “Schedule Update”와 “WindowsDeviceUpdates”이다.
Figure 6. 이전 사례와 동일한 분석 방해 기법
Figure 7. 등록된 두 개의 작업
작업 스케줄러에 등록되어 주기적으로 NodeJS를 통해 실행되는 악성 JavaScript가 실질적으로 Proxyware 설치를 담당한다. JavaScript는 C&C 서버에 다음과 같은 기본적인 정보를 전송하며 응답으로 파워쉘 명령을 전달받을 경우 실행할 수 있다. 응답으로 전달받는 파워쉘 명령으로는 또 다른 악성 JavaScript를 설치하는 명령이거나 최종 Proxyware를 설치하는 명령들이 있다.
Figure 8. C&C 서버에 전달하는 정보
3. Proxyware
Proxyware란 설치된 시스템에서 현재 사용 가능한 인터넷 대역폭 일부를 외부에 공유하는 프로그램으로서 일반적으로 이를 설치하는 사용자는 대역폭을 제공하는 대신 일정한 금액을 받는다. 현재 다루고 있는 공격 사례처럼 만약 공격자가 사용자의 동의 없이 감염 시스템에 Proxyware를 몰래 설치할 경우 감염된 시스템은 비자발적으로 네트워크 대역폭을 탈취당하게 되며 수익은 공격자에게 돌아가게 된다.
유튜브 다운로드 페이지를 위장해 악성코드를 유포 중인 공격자는 과거 DigitalPulse Proxyware를 설치하고 있으며 Honeygain의 Proxyware를 설치한 사례도 이전 포스팅에서 다루었다. 기존 Proxyware들을 설치하는 사례는 지속적으로 발생하고 있지만 최근에는 Infatica Proxyware를 설치하는 사례가 추가적으로 확인되었다.
C&C 서버로부터 전달받은 파워쉘 명령은 다음과 같이 CleanZiloApp이라는 프로그램을 설치하고 “LAN Network Status”라는 이름으로 작업에 등록한다. 최종적으로 실행되는 “CleanZilo.exe”는 실행 시 동일 경로에 위치한 Infatica Proxyware인 “infatica_agent.dll”을 로드해 실행하며 이에 따라 사용자는 네트워크 대역폭을 탈취당하게 된다.
Figure 9. Infatica Proxyware 설치 악성코드
4. 결론
최근 유튜브 동영상 다운로드 페이지를 통해 다양한 Proxyware가 유포되고 있다. 과거 DigitalPulse 및 HoneyGain Proxyware를 설치하였던 공격자는 이외에도 Infatica Proxyware를 설치하고 있다. Proxyware 악성코드는 시스템의 리소스를 이용해 수익을 얻는다는 점에서 코인 마이너와 유사하며 최근에는 국내 다수의 시스템들이 공격 대상이 되고 있다.
사용자는 공식 홈페이지가 아닌 광고 및 팝업과 같은 의심스러운 웹 사이트나 자료 공유 사이트에서 실행 파일을 설치하는 행위를 주의해야 한다. 또한 이미 감염된 시스템의 경우 V3 제품을 설치하여 추가적인 악성코드 감염을 막아야 한다.
[V3 진단명]
- Dropper/Win.Proxyware.C5783593 (2025.07.30.02)
- Dropper/Win.Proxyware.C5790716 (2025.08.21.02)
- Downloader/Win.Proxyware.C5790717 (2025.08.21.02)
- Downloader/JS.Proxyware.SC291256 (2025.08.21.02)
- Downloader/JS.Proxyware.SC291257 (2025.08.21.02)
- Downloader/JS.Proxyware.SC291258 (2025.08.21.02)
- Downloader/JS.Proxyware.SC291259 (2025.08.21.02)
- Downloader/Powershell.Proxyware.SC291260 (2025.08.21.02)
- Downloader/Powershell.Proxyware.SC291261 (2025.08.21.02)
- Downloader/Powershell.Proxyware.SC291262 (2025.08.21.02)
- Downloader/JS.Downloader.SC291265 (2025.08.21.03)
- Downloader/Powershell.Proxyware.SC291266 (2025.08.21.03)
- Unwanted/Win.Proxyware.C5790566 (2025.08.21.02)
- Unwanted/Win.Proxyware.C5790567 (2025.08.21.02)
- Dropper/Win.Proxyware.R707337 (2025.08.25.03)
- Downloader/Win.Proxyware.C5791871 (2025.08.25.03)
- Downloader/JS.Proxyware.SC291355 (2025.08.25.03)
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
