你有下載YouTube影片習慣?駭客利用假下載網站散布「代理劫持」惡意軟體
記者孫敬/編譯
根據一份最新的資安分析報告指出,網路犯罪集團正透過用戶下載YouTube影片的行為,發動「代理劫持(Proxyjacking)」攻擊。駭客利用偽裝成合法YouTube影片下載網站,散布惡意軟體,鎖定那些尋求免費影片轉檔服務的用戶,藉此竊取電腦的網路頻寬,從中獲取不法利益。
延伸閱讀:思科防火牆軟體爆CVSS 10分漏洞 駭客可遠端完全接管系統
以假亂真!下載按鈕竟是惡意程式碼
這項惡意的網路行動,圍繞著一個模仿YouTube轉MP4服務的欺騙性網站。當用戶點擊「立即下載」(Download Now)按鈕時,便會被重新導向到廣告頁面,並被要求安裝惡意執行檔。這類攻擊正是利用用戶對網站合法下載功能的信任,對毫無防備的受害者來說特別有效。
資安分析公司ASEC的研究員發現,與過去散布DigitalPulse代理軟體的駭客,似乎就是同一批人,只是現在將攻擊範圍擴大到了YouTube下載網站。光是在南韓,研究人員就發現多起受感染案例。據估計,全球已有約40萬台Windows系統因此受害,駭客藉由未經授權的頻寬盜用,從中牟取巨額利潤。
新型攻擊模式從「挖礦」轉向「頻寬」竊取
與傳統透過耗費電腦運算資源來挖掘加密貨幣的「挖礦劫持(Cryptojacking)」不同,「代理劫持」則是將目標轉向竊取網路頻寬。這類惡意軟體會利用受害者的網路,將其變成一個代理伺服器,再將頻寬轉售獲利,為網路犯罪分子創造穩定的收入來源。
這波攻擊的部署過程複雜,且包含多階段的感染流程,以規避資安軟體的偵測。惡意安裝程式會偽裝成「QuickScreenRecoder.exe」,但啟動後會立即執行PowerShell腳本來投放惡意程式碼。為了確保能持續運作,駭客還會利用Windows的「任務排程器」,以「Defrag DiskCleanup」等偽裝成合法系統維護任務的名稱來隱藏行蹤,讓惡意軟體在電腦中持續運作,竊取用戶網路資源。
資料來源:Cyber Security News
