一个新的恶意软件包使用受害者的 YouTube 频道上传恶意视频教程,宣传流行视频游戏的虚假作弊和破解,以进一步传播恶意包。
自我传播的恶意软件捆绑包已在 YouTube 视频中宣传,目标是玩 FIFA、最终幻想、极限竞速地平线、乐高星球大战和蜘蛛侠的粉丝。
这些上传的视频包含下载假破解和作弊的链接,但实际上,它们安装了相同的自我传播恶意软件包,感染了上传者。
恶意软件鸡尾酒
在卡巴斯基的一份新报告中,研究人员发现了一个包含恶意软件集合的 RAR 存档,其中最著名的是 RedLine,它是目前分布最广泛的信息窃取程序之一。
RedLine 可以窃取存储在受害者网络浏览器中的信息,例如 cookie、帐户密码和信用卡,访问即时通讯对话,并破坏加密货币钱包。
此外,RAR 存档中包含一个矿工,利用受害者的显卡(他们在 YouTube 上观看游戏视频时很可能拥有该显卡)为攻击者挖掘加密货币。
由于捆绑包中名为“nir.exe”的合法 Nirsoft NirCmd 实用程序,在启动时,所有可执行文件都将被隐藏,并且不会在界面或任何任务栏图标中生成窗口,因此一切都对受害者隐藏。
捆绑的感染和可执行文件本身并不是特别有趣,并且通常被威胁参与者用于其他恶意软件分发活动。
在 YouTube 上自我传播 RedLine
然而,卡巴斯基在存档中发现了一种不寻常且有趣的自我传播机制,该机制允许恶意软件自我传播给互联网上的其他受害者。
具体来说,RAR 包含运行三个恶意可执行文件的批处理文件,即“MakiseKurisu.exe”、“download.exe”和“upload.exe”,它们执行捆绑包的自我传播。

第一个是 MakiseKurisu,是广泛使用的 C# 密码窃取程序的修改版本,仅用于从浏览器中提取 cookie 并将其存储在本地。
第二个可执行文件“download.exe”用于从 YouTube 下载视频,该视频是宣传恶意包的视频的副本。
这些视频是从从 GitHub 存储库获取的链接下载的,以避免指向已从 YouTube 报告和删除的视频 URL。

最后,“upload.exe”用于将恶意软件宣传视频上传到 YouTube,使用被盗的 cookie 登录受害者的 YouTube 帐户并通过他们的频道传播捆绑包。

“它 [upload.exe] 使用 Puppeteer Node 库,它提供了一个高级 API,用于使用 DevTools 协议管理 Chrome 和 Microsoft Edge,”卡巴斯基在报告中解释道。
“视频成功上传到 YouTube 后,upload.exe 会向 Discord 发送一条消息,其中包含上传视频的链接。”

虽然威胁参与者获悉新上传的内容,但如果频道所有者在平台上不是很活跃,他们不太可能意识到他们正在 YouTube 上宣传恶意软件。
这种激进的分发方法使 YouTube 上的审查和删除变得更加困难,因为指向恶意下载的视频是从可能具有长期清洁记录的帐户上传的。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 新的恶意软件捆绑包通过YouTube游戏视频进行自我传播