Исследователи обнаружили, что недавно обнаруженная вредоносная кампания, распространяющая инфостилер RedLine Stealer, обладает очень интересным механизмом самораспространения.
Специалисты по кибербезопасности «Лаборатории Касперского» обнаружили новое вредоносное ПО (откроется в новой вкладке) который заходит в YouTube-аккаунты скомпрометированных пользователей и загружает на их канал видео, которое распространяет RedLine Infostealer.
Жертва, в идеале компьютерный геймер, находит на YouTube видео о взломах или читах для одной из своих любимых игр: FIFA, Final Fantasy, Forza Horizon, Lego Star Wars или Spider-Man. В описании видео есть ссылки, которые утверждают, что содержат те взломы и читы, которые на самом деле содержат несколько вредоносных программ, связанных вместе.
Криптоджекеры, инфостилеры
В комплекте RedLine Stealer, один из самых популярных на сегодняшний день инфостилеров, способный воровать (откроется в новой вкладке) пароли, хранящиеся в браузерах людей, файлы cookie, данные кредитных карт, обмен мгновенными сообщениями и криптовалютные кошельки.
В пакет также входит криптоджекер, по сути майнер криптовалюты, который использует вычислительную мощность скомпрометированной конечной точки для добычи определенной криптовалюты для злоумышленников. Добыча криптовалюты обычно требует значительной мощности графического процессора, что обычно есть у большинства геймеров.
Но, пожалуй, самое интересное, что в комплекте есть три вредоносных исполняемых файла, используемых для самораспространения. Они называются «MakiseKurisu.exe», «download.exe» и «upload.exe». MakiseKurisu — это программа для кражи информации, которая захватывает файлы cookie браузера и сохраняет их локально.
Затем download.exe брал поддельное видео из репозитория GitHub и передал его upload.exe, который загружал его в учетную запись YouTube жертвы после использования файлов cookie для входа в систему.
Если жертва не является активным пользователем YouTube или у нее отключены уведомления, есть большая вероятность, что вредоносное видео может находиться на ее канале YouTube в течение длительного времени, прежде чем оно будет удалено.
«Когда видео успешно загружено на YouTube, upload.exe отправляет сообщение в Discord со ссылкой на загруженное видео», — объясняет Касперский.
- Вот наше краткое изложение лучших брандмауэров (откроется в новой вкладке) доступен сейчас
С помощью: BleepingКомпьютер (откроется в новой вкладке)
