YouTube 動画の偽ダウンロード・サイトで DigitalPulse/Honeygain/Infatica の亜種が拡散:新たなプロキシウェア脅威とは?

Proxyware Malware Poses as YouTube Video Download Site, Delivering Malicious JavaScript

2025/08/26 gbhackers — YouTube 動画の偽ダウンロード・ページを介して、プロキシウェア・マルウェアを拡散する攻撃が継続的に行われていることを、AhnLab Security Intelligence Center (ASEC) のサイバー・セキュリティ研究者たちが発見した。正規の動画ダウンロード・サービスを模倣する攻撃者は、WinMemoryCleaner などの正規のツールを装う悪意の実行ファイルを、ユーザーにインストールさせるよう促す。この攻撃者は、GitHub をマルウェアのホスティングに悪用するという、過去の事例と共通する手口を採用しており、特に韓国で感染が拡大している。

このマルウェアは、ユーザーが YouTube コンテンツを検索する際に、ランダムに表示されるポップアップ広告や直接ダウンロード・リンクを介して拡散している。それにより、通常では検知されないステルス性の高い感染経路が確保される。

Proxyware Malware
Attack Flow
感染メカニズム

偽サイトに誘導されたユーザーが、YouTube 動画の URL を入力し、ダウンロード・ボタンをクリックすることで、この攻撃は開始される。このボタンのクリックにより、”Setup.exe” という悪意の実行ファイルにリダイレクトされる場合もあるという。

この実行ファイルは、ダウンローダー・マルウェアである “WinMemoryCleaner.exe” を “%PROGRAMFILES%\WinMemoryCleaner” ディレクトリにインストールし、バッチ・スクリプト “WinMemoryCleanerUpdate.bat” を実行して “/update” 引数を指定する。

Downloader Malware Installation Path

このダウンローダー・マルウェアは、分析回避の技術を組み込んでおり、仮想マシンやサンドボックスをスキャン後に、PowerShell スクリプトを展開することで、Node.js をインストールして追加の JavaScript ペイロードをダウンロードする。

これらのスクリプトは、タスクスケジューラの Schedule Update/WindowsDeviceUpdates などに登録され、定期的に実行されていく。それに加えて、JavaScript は C&C (command-and-control) サーバと通信し、UUID/IP アドレス/位置情報などのシステム情報を送信し、PowerShell コマンドを受け取る。

これらのコマンドは、プロキシウェアである DigitalPulse/Honeygain/Infatica などのインストールを容易にする。ただし、それらを悪用するマルウェア亜種は、被害者のネットワーク帯域幅を、不正なプロキシ・サービスとして悪用するものだ。

たとえば Infatica の亜種は、CleanZilo.exe を展開し、infatica_agent.dll をロードして帯域幅を吸い上げ、感染させたシステムのパフォーマンスを低下させる一方で、攻撃者に利益をもたらす。

広範な影響

このキャンペーンが示すのは、プロキシウェア脅威の進化である。正当な帯域幅共有ツールを、不正利益のために転用する攻撃者の行動は、クリプト・ジャッキングに似ているが、CPU サイクルではなくネットワーク・リソースを標的としている。これらの感染により、被害者の接続が収益化され、その利益は脅威アクターへと流れている。

最近の事例では、DigitalPulse/Honeygain/Infatica などプロキシウェアが多様化しており、検出回避のための適応的な戦術の採用も示唆されている。また、ASEC の報告によると、韓国のシステムが主要な標的となっており、一連のマルウェアは、環境チェックやスクリプトによる永続化などの、さまざまな回避策を講じているという。

対策として、ユーザーにとって必要なことは、広告付きサイトやポップアップなどの、未検証のソースからの実行ファイルのダウンロードを避けることだ。さらに、AhnLab の V3 のような、ウイルス対策ソリューションの導入も推奨される。この V3 は、Dropper/Win.Proxyware.C5783593/Unwanted/Win.Proxyware.C5790566 といったシグネチャの亜種を検出できる。

攻撃者は手法を進化させ続けているため、侵害の痕跡 (IOC) の継続的な監視が、脅威ハンターにとって不可欠となる。

侵害の兆候 (IOCs)

TypeIOCs
MD5037e94519ce35ef944f1dc3f1434d09d
0af46f150e0ffa678d20fcbe5e145576
0af9e224a5469cc47706ab4253d108e9
0e6c41058975c1288da2f41abc5d9345
14c89939209ee3d0d1977a2e92897dfc
URLshttps://a.pairnewtags.com/p.js
https://d14vmbql41e8a5.cloudflare.net/pas.js
https://d8mrs2p5baql5.cloudflare.net/CleanZilo.exe
https://d8mrs2p5baql5.cloudflare.net/infatica_agent.dll
https://ferntier.com/m.js
FQDNs4tressx.com
cloudnetpr.com
connectiondistribute.com
diskcleanu.com
fastconnectnetwork.com
Detection NamesDropper/Win.Proxyware.C5783593 (2025.07.30.02)
Dropper/Win.Proxyware.C5790716 (2025.08.21.02)
Downloader/Win.Proxyware5790717 (2025.08.21.02)
And others as listed in ASEC reports

YouTube の偽ダウンロード・ページから、プロキシ・マルウェアが拡散されているようです。ユーザーを騙して不正な実行ファイルをダウンロードさせる “ソーシャルエンジニアリング” と、検知を回避する巧妙な手口が組み合わされている。また、タスク・スケジューラに登録することで永続化を実現し、システムのリソースを利用してプロキシウェアを動作させると、この記事は指摘しています。YouTube ユーザーさんは、ご注意ください。よろしければ、カテゴリ Malware も、ご参照ください。