Любишь стриминг? Качай вирусы по ссылкам на YouTube!
Самораспространяющийся пакет вредоносного ПО рекламируется в видеороликах для фанатов FIFA, Final Fantasy, Forza Horizon, Lego Star Wars и Spider-Man. Видео содержат ссылки для загрузки поддельных кряков и читов, но на самом деле они устанавливают тот же самый самораспространяющийся пакет вредоносных программ, который заразил стримера.
В отчете «Лаборатории Касперского» исследователи сообщили об обнаружении RAR-архива, содержащего целый набор вредоносных программ. В первую очередь, это RedLine, который в настоящее время является одним из самых массово распространенных похитителей информации.
RedLine крадет информацию, хранящуюся в веб-браузере жертвы, такую как файлы cookie, пароли к учетным записям и кредитным картам, получает доступ к разговорам в мессенджерах и взламывает криптовалютные кошельки. Кроме того, в RAR-архив включен майнер, использующий видеокарту жертвы.
Благодаря включенной в комплект безопасной утилите Nirsoft NirCmd, при запуске все исполняемые файлы скрыты и не генерируют окна в интерфейсе или какие-либо значки на панели задач, поэтому процесс установки остается незаметен. Сами инфекции и исполняемые файлы не представляют особого интереса и обычно используются злоумышленниками в других кампаниях по распространению вредоносных программ.
Однако «Лаборатория Касперского» обнаружила спрятанный в архиве необычный и интересный механизм самораспространения, который позволяет пакету распространяться далее. В частности, RAR-архив содержит пакетные файлы, которые запускают три вредоносных исполняемых файла, а именно «MakiseKurisu.exe», «download.exe» и «upload.exe» Они и обеспечивают самораспространение пакета.
Первый из них, MakiseKurisu, являет собой модифицированную версию широко доступного похитителя паролей C#, используемого исключительно для извлечения файлов cookie из браузеров и их локального хранения.
Второй исполняемый файл, «download.exe», используется для загрузки видео с YouTube, которое является копией видеороликов, рекламирующих вредоносный пакет. Видео загружается по ссылкам, полученным из репозитория GitHub, чтобы не указывать URL-адреса видео, которые были удалены с YouTube.
Наконец, «upload.exe» используется для загрузки видеороликов продвигающих вредоносное ПО на YouTube. Для входа используются украденные файлы cookie и учетная запись жертвы. Через ее канал и зловреды распространяются далее.
«Он [upload.exe] использует библиотеку Puppeteer Node, которая предоставляет высокоуровневый API для управления Chrome и Microsoft Edge с использованием протокола DevTools», — поясняет Касперский в отчете.
«Когда видео успешно загружено на YouTube, upload.exe отправляет сообщение в Discord со ссылкой на загруженное видео». В то время как хакер получает информацию о новом канале распространения, владелец канала вряд ли даже подозревает, что он продвигает вредоносное ПО. Этот метод распространения еще больше усложняет проверку и удаление неподходящего контента на YouTube, поскольку видео, указывающие на вредоносные загрузки, загружаются из учетных записей имеющих хорошую репутацию.