近期,网络安全研究人员发现一批伪装成YouTube视频下载网站的恶意平台急剧增加。这些网站通过广告页面诱导用户下载名为“WinMemoryCleaner”的所谓视频工具,实际却分发多阶段恶意安装程序。该程序首先执行环境检测以躲避沙箱分析,继而通过PowerShell部署Node.js,并从远程服务器获取JavaScript组件,最终在系统中植入代理软件,如Infatica、DigitalPulse等。攻击者还创建计划任务实现持久化运行,窃取受害者网络带宽并将其通过 affiliate 计划变现,导致系统性能下降且用户完全不知情。
