7

新的恶意软件包通过YouTube视频自我传播

 2 years ago
source link: https://www.51cto.com/article/718950.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

新的恶意软件包通过YouTube视频自我传播

作者:james_23 2022-09-16 14:26:56
据悉,恶意软件捆绑包已经在YouTube视频中广泛传播,其针对的主要目标是一些玩 FIFA、Forza Horizon、乐高星球大战和蜘蛛侠等游戏的粉丝。

Bleeping Computer 网站披露,一个新的恶意软件包利用受害者YouTube频道宣传流行游戏的破解方法,这些上传的视频中包含了下载破解和作弊器的链接,但是受害者安装的却是能够自我传播的恶意软件包。

29732a424a734ed2749575eaf355b726da01e0.jpg

据悉,恶意软件捆绑包已经在YouTube视频中广泛传播,其针对的主要目标是一些玩 FIFA、Forza Horizon、乐高星球大战和蜘蛛侠等游戏的粉丝。

恶意软件RedLine

卡巴斯基在一份报告中指出,研究人员发现一个 RAR 档案中包含了一系列恶意软件,其中最引人注目的是 RedLine,这是目前最大规模传播的信息窃取者之一。

RedLine 可以窃取存储在受害者网络浏览器中的信息,例如 cookie、账户密码和信用卡,还可以访问即时通讯工具的对话,并破坏加密货币钱包。

除此之外,RAR 档案中还包括一个矿工,利用受害者的显卡为攻击者挖掘加密货币。

由于捆绑文件中合法的 Nirsoft NirCmd 工具 nir.exe,当启动时,所有的可执行文件都会被隐藏,不会在界面上生成窗口或任何任务栏图标,所以受害者很难发现这些情况。

YouTube上自我传播的RedLine

值得一提的是,卡巴斯基在存档中发现了一种“不寻常且有趣”的自我传播机制,该机制允许恶意软件自我传播给互联网上的其他受害者。

具体来说,RAR包含运行三个恶意可执行文件的批处理文件,即 “MakiseKurisu.exe”、“download.exe ”和 “upload.exe”,它们可以执行捆绑的自我传播。

1663309173_6324157543c32aab69599.jpg!small?1663309172953

RAR中包含的文件(卡巴斯基)

第一个是 MakiseKurisu,是广泛使用 C# 密码窃取程序的修改版本,仅用于从浏览器中提取 cookie 并将其存储在本地。

第二个可执行文件“download.exe”用于从 YouTube 下载视频,这些视频是宣传恶意包视频的副本。这些视频是从 GitHub 存储库获取的链接下载的,以避免指向已从 YouTube 报告和删除的视频 URL。

1663309191_632415877e61ff6a01181.jpg!small?1663309191186

宣传恶意软件包的YouTube视频(卡巴斯基)

第三个是“upload.exe ”,用于将恶意软件推广视频上传到 YouTube。使用盗取的 cookies 登录到受害者 YouTube 账户,并通过他们的频道传播捆绑的恶意软件。

1663309200_63241590e0adad7d11ac5.jpg!small?1663309200653

上传恶意视频的代码(卡巴斯基)

卡巴斯基在报告中解释,[upload.exe]使用了 Puppeteer Node 库,提供了一个高级别 API,用于使用 DevTools 协议管理 Chrome 和 Microsoft Edge。当视频成功上传到 YouTube 时,upload.exe 会向 Discord 发送一条信息,并附上上传视频的链接。

1663309215_6324159fcb8fc636f73ae.jpg!small?1663309215485

生成Discord通知(卡巴斯基)

如果YouTube频道所有者日常不是很活跃,他们不太可能意识到自己已经在 YouTube 上推广了恶意软件,这种传播方式使 YouTube 上的审查和取缔更加困难。

参考文章:https://www.bleepingcomputer.com/news/security/new-malware-bundle-self-spreads-through-youtube-gaming-videos/

责任编辑:赵宁宁 来源: FreeBuf.COM

report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK