你的電腦變慢了嗎?駭客藉假YouTube下載網站偷走你的頻寬
記者孫敬/編譯
近期,資安研究人員觀察到,冒充YouTube影片下載服務的詐騙網站數量激增,這些網站正被用來傳播一種名為Proxyware的惡意軟體。
受害者通常想從這些網站下載MP4格式的影片,但會被重新導向到廣告頁面,並偶爾出現一個看起來很正常的下載連結,標示為「WinMemoryCleaner」。看似無害的表面下,卻是一個多階段的安裝程式,最終會植入Proxyware,並暗中劫持系統的網路頻寬。
延伸閱讀:當心安卓木馬!惡意軟體偽裝Google Play商店 手機不慎安裝恐被植入木馬
駭客竊取頻寬牟利,你的電腦可能已淪為幫兇
這個惡意軟體的安裝過程相當狡猾:最初的執行檔Setup.exe會先解壓縮WinMemoryCleaner.exe到程式資料夾中,然後觸發一個名為WinMemoryCleanerUpdate.bat的更新腳本。一旦執行,這個程式會進行環境檢查以躲避虛擬機器或沙箱分析,隨後調用一個PowerShell酬載來安裝Node.js,並從遠端伺服器下載惡意的JavaScript元件。
資安公司ASEC的分析師指出,這種技術是先前的Proxyware惡意軟體活動的進化版,駭客現在更依賴GitHub來託管中間工具。在後續步驟,惡意程式會註冊兩個排程任務,確保JavaScript腳本能在Node.js的環境下定期運行,腳本會將基本的系統資訊傳送給駭客的伺服器,並等待指令,這些指令可能包括下載額外的腳本,或啟動最終的Proxyware安裝程式。
Proxyware惡意軟體通常會竊取系統閒置的網路流量,並透過聯盟行銷(Affiliate programs)將這些頻寬變現。雖然有些合法的Proxyware程式會承諾給用戶報酬,但這種惡意的Proxyware程式會讓受害者在不知情的情況下,無償提供他們的網路頻寬,受感染的系統會經歷網路效能下降,駭客則可以利用竊取的頻寬來獲取收益。在韓國等串流服務普及率高的地區,這類惡意軟體的傳播範圍已顯著增加,促使防毒軟體廠商發出警告。
資料來源:Cyber Security News
