Αναλυτές ασφαλείας από την Κορέα, εντόπισαν μια καμπάνια διανομής κακόβουλου λογισμικού, που χρησιμοποιεί θέλγητρα εξαπάτησης Valorant στο YouTube για να ξεγελάσει τους παίκτες ώστε να κατεβάσουν το RedLine, ένα ισχυρό stealer πληροφοριών.
Δείτε επίσης: RedLine malware: Εκμεταλλεύεται τη μετάλλαξη Omicron για να μολύνει χρήστες
Αυτός ο τύπος κατάχρησης είναι αρκετά συνηθισμένος, καθώς οι κακόβουλοι χρήστες μπορούν εύκολα να παρακάμψουν τις κριτικές υποβολής νέου περιεχομένου του YouTube ή να δημιουργήσουν νέους λογαριασμούς όταν οι υπάρχοντες αναφέρονται και αποκλείονται.
Η καμπάνια που εντοπίστηκε από την ASEC, στοχεύει στην κοινότητα gaming του Valorant, ενός δωρεάν shooter πρώτου προσώπου για Windows, όπου προσφέρει έναν σύνδεσμο για λήψη, ο οποίος περιέχει ένα bot αυτόματης στόχευσης στην περιγραφή του βίντεο.
Αυτά τα cheat φέρεται να έχουν εγκατασταθεί πρόσθετα στο παιχνίδι για να βοηθήσουν τους παίκτες να στοχεύουν τους εχθρούς με ταχύτητα και ακρίβεια, κερδίζοντας headshots χωρίς ιδιαίτερη προσπάθεια.
Τα ρομπότ αυτόματης στόχευσης είναι ιδιαίτερα περιζήτητα για δημοφιλή παιχνίδια για πολλούς παίκτες όπως το Valorant, επειδή επιτρέπουν την αβίαστη πρόοδο στην κατάταξη.
Οι χρήστες που επιχειρούν να κατεβάσουν το αρχείο στην περιγραφή του βίντεο, θα μεταφερθούν σε μια σελίδα anonfiles από όπου θα λάβουν ένα αρχείο RAR που περιέχει ένα εκτελέσιμο με το όνομα “Cheat installer.exe“.
Δείτε ακόμα: Ψεύτικοι Windows 11 upgrade installers σας μολύνουν με malware RedLine
Αυτό το αρχείο είναι στην πραγματικότητα, ένα αντίγραφο του RedLine stealer, μιας από τις πιο ευρέως διαδεδομένες μολύνσεις κακόβουλου λογισμικού κλοπής κωδικών πρόσβασης, που αρπάζουν τα ακόλουθα δεδομένα από μολυσμένα συστήματα:
- Βασικές πληροφορίες: Όνομα υπολογιστή, όνομα χρήστη, διεύθυνση IP, έκδοση Windows, πληροφορίες συστήματος (CPU, GPU, RAM, κ.λπ.) και λίστα διαδικασιών
- Προγράμματα περιήγησης Ιστού: Κωδικοί πρόσβασης, αριθμοί πιστωτικών καρτών, φόρμες Αυτόματης συμπλήρωσης, σελιδοδείκτες και cookie από Chrome, προγράμματα περιήγησης που βασίζονται σε Chrome και Firefox
- Πορτοφόλια κρυπτονομισμάτων: Armory, AtomicWallet, BitcoinCore, Bytecoin, DashCore, Electrum, Ethereum, LitecoinCore, Monero, Exodus, Zcash και Jaxx
- Πελάτες VPN: ProtonVPN, OpenVPN και NordVPN
- Άλλα: FileZilla (διεύθυνση κεντρικού υπολογιστή, αριθμός θύρας, όνομα χρήστη και κωδικοί πρόσβασης), Minecraft (διαπιστευτήρια λογαριασμού, επίπεδο, κατάταξη), Steam (συνεδρία πελάτη), Discord (στοιχεία διακριτικών)
Αφού συλλέξει αυτές τις πληροφορίες, το RedLine τις συσκευάζει προσεκτικά σε ένα αρχείο ZIP με το όνομα “().zip” και εξάγει τα αρχεία μέσω ενός αιτήματος WebHook API POST σε έναν διακομιστή Discord.
Εκτός από το γεγονός ότι η εξαπάτηση στα βιντεοπαιχνίδια αφαιρεί τη διασκέδαση του παιχνιδιού και καταστρέφει το παιχνίδι για άλλους, είναι πάντα ένας δυνητικά σοβαρός κίνδυνος για την ασφάλεια.
Δείτε επίσης: Have I Been Pwned: Πρόσθεσε 441.000 λογαριασμούς που κλάπηκαν από το RedLine malware
Κανένα από αυτά τα εργαλεία εξαπάτησης δεν έχει δημιουργηθεί από αξιόπιστες οντότητες, κανένα δεν έχει ψηφιακή υπογραφή και πολλά είναι στην πραγματικότητα κακόβουλο λογισμικό.
Η έκθεση της ASEC περιέχει ένα πρόσφατο παράδειγμα, αλλά αυτό είναι απλώς μια σταγόνα στον ωκεανό των κακόβουλων συνδέσμων λήψης κάτω από βίντεο YouTube, που προωθούν δωρεάν λογισμικό διαφόρων τύπων.
Τα βίντεο που προωθούν αυτά τα εργαλεία συχνά έχουν κλαπεί από αλλού και δημοσιεύονται ξανά από κακόβουλους χρήστες σε κανάλια που δημιουργήθηκαν πρόσφατα για να λειτουργήσουν ως δέλεαρ.
Ακόμα κι αν τα σχόλια κάτω από αυτά τα βίντεο επαινούν τον χρήστη και υποστηρίζουν ότι το εργαλείο λειτουργεί όπως υποσχέθηκε, δεν πρέπει να τα εμπιστεύεστε, καθώς αυτά μπορούν εύκολα να παραποιηθούν.
