新的恶意软件包通过YouTube视频自我传播

安全
据悉,恶意软件捆绑包已经在YouTube视频中广泛传播,其针对的主要目标是一些玩 FIFA、Forza Horizon、乐高星球大战和蜘蛛侠等游戏的粉丝。

Bleeping Computer 网站披露,一个新的恶意软件包利用受害者YouTube频道宣传流行游戏的破解方法,这些上传的视频中包含了下载破解和作弊器的链接,但是受害者安装的却是能够自我传播的恶意软件包。

据悉,恶意软件捆绑包已经在YouTube视频中广泛传播,其针对的主要目标是一些玩 FIFA、Forza Horizon、乐高星球大战和蜘蛛侠等游戏的粉丝。

恶意软件RedLine

卡巴斯基在一份报告中指出,研究人员发现一个 RAR 档案中包含了一系列恶意软件,其中最引人注目的是 RedLine,这是目前最大规模传播的信息窃取者之一。

RedLine 可以窃取存储在受害者网络浏览器中的信息,例如 cookie、账户密码和信用卡,还可以访问即时通讯工具的对话,并破坏加密货币钱包。

除此之外,RAR 档案中还包括一个矿工,利用受害者的显卡为攻击者挖掘加密货币。

由于捆绑文件中合法的 Nirsoft NirCmd 工具 nir.exe,当启动时,所有的可执行文件都会被隐藏,不会在界面上生成窗口或任何任务栏图标,所以受害者很难发现这些情况。

YouTube上自我传播的RedLine

值得一提的是,卡巴斯基在存档中发现了一种“不寻常且有趣”的自我传播机制,该机制允许恶意软件自我传播给互联网上的其他受害者。

具体来说,RAR包含运行三个恶意可执行文件的批处理文件,即 “MakiseKurisu.exe”、“download.exe ”和 “upload.exe”,它们可以执行捆绑的自我传播。

1663309173_6324157543c32aab69599.jpg!small?1663309172953

RAR中包含的文件(卡巴斯基)

第一个是 MakiseKurisu,是广泛使用 C# 密码窃取程序的修改版本,仅用于从浏览器中提取 cookie 并将其存储在本地。

第二个可执行文件“download.exe”用于从 YouTube 下载视频,这些视频是宣传恶意包视频的副本。这些视频是从 GitHub 存储库获取的链接下载的,以避免指向已从 YouTube 报告和删除的视频 URL。

1663309191_632415877e61ff6a01181.jpg!small?1663309191186

宣传恶意软件包的YouTube视频(卡巴斯基)

第三个是“upload.exe ”,用于将恶意软件推广视频上传到 YouTube。使用盗取的 cookies 登录到受害者 YouTube 账户,并通过他们的频道传播捆绑的恶意软件。

1663309200_63241590e0adad7d11ac5.jpg!small?1663309200653

上传恶意视频的代码(卡巴斯基)

卡巴斯基在报告中解释,[upload.exe]使用了 Puppeteer Node 库,提供了一个高级别 API,用于使用 DevTools 协议管理 Chrome 和 Microsoft Edge。当视频成功上传到 YouTube 时,upload.exe 会向 Discord 发送一条信息,并附上上传视频的链接。

1663309215_6324159fcb8fc636f73ae.jpg!small?1663309215485

生成Discord通知(卡巴斯基)

如果YouTube频道所有者日常不是很活跃,他们不太可能意识到自己已经在 YouTube 上推广了恶意软件,这种传播方式使 YouTube 上的审查和取缔更加困难。

参考文章:https://www.bleepingcomputer.com/news/security/new-malware-bundle-self-spreads-through-youtube-gaming-videos/

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2023-11-01 13:29:01

2021-04-15 09:58:45

恶意广告TikTok网络犯罪

2023-04-18 18:59:13

2024-02-26 18:10:54

2022-05-13 11:13:22

恶意软件黑客

2022-09-25 12:48:28

Python恶意软件

2012-10-29 11:31:43

IBMdw

2022-08-31 08:24:19

恶意软件网络攻击

2023-07-17 18:01:35

2024-02-02 10:25:00

2023-02-14 07:19:31

2010-10-14 12:00:28

2022-08-16 19:45:03

恶意软件加密

2014-01-15 10:32:56

2022-09-10 12:08:07

恶意软件Golang编程语言

2022-05-23 13:36:31

恶意软件网络攻击

2022-09-22 09:01:24

Packj管理工具

2023-07-19 11:57:33

2020-09-28 13:57:35

恶意软件黑客网络攻击

2022-12-02 10:13:49

Bodhi Linu和软件包
点赞
收藏

51CTO技术栈公众号