新的惡意軟體包通過YouTube視訊自我傳播

語言: CN / TW / HK

Bleeping Computer 網站披露,一個新的惡意軟體包利用受害者YouTube頻道宣傳流行遊戲的破解方法,這些上傳的視訊中包含了下載破解和作弊器的連結,但是受害者安裝的卻是能夠自我傳播的惡意軟體包。

據悉,惡意軟體捆綁包已經在YouTube視訊中廣泛傳播,其針對的主要目標是一些玩 FIFA、Forza Horizon、樂高星球大戰和蜘蛛俠等遊戲的粉絲。

惡意軟體RedLine

卡巴斯基在一份報告中指出,研究人員發現一個 RAR 檔案中包含了一系列惡意軟體,其中最引人注目的是 RedLine,這是目前最大規模傳播的資訊竊取者之一。

RedLine 可以竊取儲存在受害者網路瀏覽器中的資訊,例如 cookie、賬戶密碼和信用卡,還可以訪問即時通訊工具的對話,並破壞加密貨幣錢包。

除此之外,RAR 檔案中還包括一個礦工,利用受害者的顯示卡為攻擊者挖掘加密貨幣。

由於捆綁檔案中合法的 Nirsoft NirCmd 工具 nir.exe,當啟動時,所有的可執行檔案都會被隱藏,不會在介面上生成視窗或任何工作列圖示,所以受害者很難發現這些情況。

YouTube 上自我傳播的 RedLine

值得一提的是,卡巴斯基在存檔中發現了一種“不尋常且有趣”的自我傳播機制,該機制允許惡意軟體自我傳播給網際網路上的其他受害者。

具體來說,RAR包含執行三個惡意可執行檔案的批處理檔案,即 “MakiseKurisu.exe”、“download.exe ”和 “upload.exe”,它們可以執行捆綁的自我傳播。

RAR中包含的檔案(卡巴斯基)

第一個是 MakiseKurisu,是廣泛使用 C# 密碼竊取程式的修改版本,僅用於從瀏覽器中提取 cookie 並將其儲存在本地。

第二個可執行檔案“download.exe”用於從 YouTube 下載視訊,這些視訊是宣傳惡意包視訊的副本。這些視訊是從 GitHub 儲存庫獲取的連結下載的,以避免指向已從 YouTube 報告和刪除的視訊 URL。

宣傳惡意軟體包的YouTube視訊(卡巴斯基)

第三個是“upload.exe ”,用於將惡意軟體推廣視訊上傳到 YouTube。使用盜取的 cookies 登入到受害者 YouTube 賬戶,並通過他們的頻道傳播捆綁的惡意軟體。

上傳惡意視訊的程式碼(卡巴斯基)

卡巴斯基在報告中解釋,[upload.exe]使用了 Puppeteer Node 庫,提供了一個高級別 API,用於使用 DevTools 協議管理 Chrome 和 Microsoft Edge。當視訊成功上傳到 YouTube 時,upload.exe 會向 Discord 傳送一條資訊,並附上上傳視訊的連結。

生成Discord通知(卡巴斯基)

如果YouTube頻道所有者日常不是很活躍,他們不太可能意識到自己已經在 YouTube 上推廣了惡意軟體,這種傳播方式使 YouTube 上的審查和取締更加困難。

參考文章:

https://www.bleepingcomputer.com/news/security/new-malware-bundle-self-spreads-through-youtube-gaming-videos/