RedLine - Kampania malware na YouTube

Bezpieczeństwo sieci w kontekście przedsiębiorstw to temat, który w dzisiejszych czasach przewija się bardzo często. Warto jednak nie zapominać o tym, że losowi użytkownicy Internetu są narażeni na ataki hakerskie nawet częściej, niż firmy. Portal Securelist opublikował raport opisujący nową kampanię malware błyskawicznie rozprzestrzeniającą się w serwisie YouTube. Hakerzy wzięli za cel graczy szukających w sieci informacji dotyczących m.in. crackowania popularnych gier wideo takich jak FIFA, Final Fantasy, Forza Horizon czy Lego Star Wars. Materiały publikowane na YouTube przez cyberprzestępców zachęcają do pobrania cracków lub cheatów do gier z linku w opisie filmu. W rzeczywistości jednak instalują one pakiet złośliwego oprogramowania zawierający m.in. popularny stealer - RedLine.

Paczka złośliwego oprogramowania ma formę samorozpakowującego się archiwum RAR. Archiwum to zawiera szereg złośliwych plików oraz skrypt służący do automatycznego uruchamiania rozpakowanej zawartości. Zaraz po rozpakowaniu rozpoczyna się uruchamianie trzech plików wykonywalnych. Należy do nich m.in. wspomniany stealer RedLine. To odkryte w marcu 2020 r. malware jest na jednym z najpopularniejszych trojanów wykorzystywanych do kradzieży danych z zainfekowanych systemów. Trojan ten jest w stanie wykradać dane z przeglądarek opartych na Chromium i Gecko. Do danych tych należą:  nazwy użytkowników, hasła, pliki cookie, dane kart bankowych, czy dane z formularzy autouzupełniania. Dodatkowo RedLine jest w stanie pozyskiwać informacje z portfeli kryptowalut, komunikatorów internetowych, czy klientów FTP/SSH/VPN, wykonywać polecenia w cmd.exe oraz otwierać łącza za pomocą domyślnej przeglądarki.

Dodatkowo w pakiecie możemy znaleźć program służący do kopania kryptowalut. Ma to sens, biorąc pod uwagę grupę docelową hakerów - gracze najczęściej są posiadaczami mocnych kart graficznych, które można wykorzystać do wydobywania.  Pliki wsadowe zawarte w pakiecie uruchamiają inne złośliwe pliki odpowiedzialne za samodystrybucję pakietu. Służą one do pobierania, a następnie publikowania filmów ze złośliwymi linkami na zhakowany kanał YouTube ofiary. Ponadto jeden z plików wsadowych uruchamia narzędzie  nir.exe, które umożliwia działanie złośliwych plików wykonywalnych bez wyświetlania jakichkolwiek okien lub ikon na pasku zadań.

Według raportu firmy Kaspersky pakiet można uzyskać na forach hakerskich za stosunkowo niewielką cenę w granicach kilkuset dolarów.

Google nie pozostaje bierny w zaistniałej sytuacji i blokuje konta rozpowszechniające niebezpieczne oprogramowanie. Warto jednak pamiętać, że zmyślność hakerów nie zna granic, więc można spodziewać się pojawiania kolejnych, podobnych kampanii. Podstawą zabezpieczenia jest oczywiście dobre oprogramowanie antywirusowe, jednak często to nie wystarcza. Warto zawsze zachowywać czujność przed wejściem w umieszane pod filmami na YouTube linki. Szczególnie narażoną grupą użytkowników YouTube są dzieci, dlatego należy zwracać szczególną uwagę na kontrolę ich działań w sieci.

Źródło: https://securelist.com/self-spreading-stealer-attacks-gamers-via-youtube/107407/

Grafika: freepik