Ένα νέο σύνολο κακόβουλων λογισμικών χρησιμοποιεί κανάλια στο YouTube για να ανεβάσει κακόβουλα εκπαιδευτικά βίντεο που διαφημίζουν ψεύτικα cheat και κρακ για δημοφιλή βιντεοπαιχνίδια, προκειμένου να διαδώσουν περαιτέρω το κακόβουλο πακέτο.
Δείτε επίσης: Το YouTube Shorts ενσωματώνεται με το YouTube Music
Το πακέτο που διαδίδεται από μόνο του, έχει προωθηθεί σε βίντεο του YouTube που στοχεύουν χρήστες που παίζουν FIFA, Final Fantasy, Forza Horizon, Lego Star Wars και Spider-Man.
Αυτά τα μεταφορτωμένα βίντεο περιέχουν συνδέσμους για τη λήψη των ψεύτικων κρακ και cheat, αλλά στην πραγματικότητα, εγκαθιστούν την ίδια δέσμη κακόβουλου λογισμικού που μόλυνε και τον αρχικό χρήστη.
Σε μια νέα έκθεση της Kaspersky, οι ερευνητές βρήκαν ένα αρχείο RAR που περιείχε μια συλλογή κακόβουλου λογισμικού, κυρίως το RedLine, ένα από τα πιο μαζικά κατανεμημένα προγράμματα κλοπής πληροφοριών.
Το RedLine μπορεί να κλέψει πληροφορίες που είναι αποθηκευμένες στο πρόγραμμα περιήγησης ιστού του θύματος, όπως cookies, κωδικούς πρόσβασης λογαριασμού και πιστωτικές κάρτες, πρόσβαση σε συνομιλίες άμεσων μηνυμάτων και παραβίαση πορτοφολιών κρυπτονομισμάτων.
Επιπλέον, ένας miner περιλαμβάνεται στο αρχείο RAR, εκμεταλλευόμενος την κάρτα γραφικών του θύματος, την οποία είναι πολύ πιθανό να έχει αφού παρακολουθεί βίντεο gaming στο YouTube, για να εξορύξει κρυπτονομίσματα για τους εισβολείς.
Χάρη στο νόμιμο βοηθητικό πρόγραμμα Nirsoft NirCmd, με το όνομα “nir.exe” κατά την εκκίνηση, όλα τα εκτελέσιμα αρχεία θα είναι κρυφά και δεν θα δημιουργούν παράθυρα στη διεπαφή ή οποιοδήποτε εικονίδιο της γραμμής εργασιών, έτσι ώστε τα πάντα να παραμένουν κρυφά από το θύμα.
Δείτε ακόμα: Το YouTube λανσάρει έναν video player χωρίς διαφημίσεις για εκπαίδευση
Οι ομαδοποιημένες μολύνσεις και τα εκτελέσιμα από μόνα τους δεν είναι ιδιαίτερα ενδιαφέροντα και χρησιμοποιούνται συνήθως από φορείς απειλών σε άλλες καμπάνιες διανομής κακόβουλου λογισμικού.
Ωστόσο, η Kaspersky ανακάλυψε έναν ασυνήθιστο και ενδιαφέρον μηχανισμό αυτοδιάδοσης που κρύβεται στο αρχείο που επιτρέπει στο κακόβουλο λογισμικό να αυτοδιαδίδεται σε άλλα θύματα στο Διαδίκτυο.
Συγκεκριμένα, το RAR περιέχει αρχεία δέσμης που εκτελούν τρία κακόβουλα εκτελέσιμα, τα «MakiseKurisu.exe», «download.exe» και «upload.exe.
Το πρώτο, MakiseKurisu, είναι μια τροποποιημένη έκδοση ενός ευρέως διαθέσιμου προγράμματος κλοπής κωδικών πρόσβασης C#, που χρησιμοποιείται αποκλειστικά για την εξαγωγή cookies από προγράμματα περιήγησης και την αποθήκευση τους τοπικά.
Το δεύτερο εκτελέσιμο αρχείο, “download.exe”, χρησιμοποιείται για τη λήψη ενός βίντεο από το YouTube, το οποίο είναι ένα αντίγραφο των βίντεο που προωθούν το κακόβουλο πακέτο. Η λήψη των βίντεο γίνεται από συνδέσμους που έχουν ληφθεί από ένα αποθετήριο GitHub για να αποφευχθεί η κατάδειξη διευθύνσεων URL βίντεο που αναφέρθηκαν και αφαιρέθηκαν από το YouTube.
Τέλος, το “upload.exe” χρησιμοποιείται για τη μεταφόρτωση των βίντεο που προωθούν κακόβουλο λογισμικό στο YouTube, χρησιμοποιώντας τα κλεμμένα cookies για να συνδεθούν στον λογαριασμό YouTube του θύματος και να διαδώσουν το πακέτο μέσω του καναλιού του.
Δείτε επίσης: YouTube: 8 δυνατότητες που πρέπει να χρησιμοποιήσεις τώρα!
Ο κάτοχος του καναλιού είναι απίθανο να συνειδητοποιήσει ότι προωθεί κακόβουλο λογισμικό στο YouTube, ειδικά εάν δεν είναι πολύ ενεργός στην πλατφόρμα.
Αυτή η επιθετική μέθοδος διανομής κάνει τον έλεγχο και την κατάργηση στο YouTube ακόμη πιο δύσκολη, καθώς βίντεο που δείχνουν κακόβουλες λήψεις ανεβαίνουν από λογαριασμούς που πιθανότατα έχουν μακροχρόνιο καθαρό αρχείο.
