BleepingComputer网站披露,新恶意包利用受害者的YouTube频道宣传热门游戏的破解方法。这些上传的视频包含下载破解和作弊的链接。相反,受害者安装了一个能够自我传播的恶意软件包。据悉,该恶意软件包已在YouTube视频中广泛传播,其主要目标是一些玩FIFA、ForzaHorizo??n、LegoStarWars和Spiderman等游戏的粉丝。恶意软件RedLine卡巴斯基在一份报告中表示,研究人员发现了一个包含一系列恶意软件的RAR存档,其中最著名的是RedLine,它是分布最广泛的信息窃取程序之一。RedLine可以窃取存储在受害者网络浏览器中的信息,例如cookie、帐户密码和信用卡,还可以访问即时消息对话并破坏加密货币钱包。除其他外,RAR存档还包括一个矿工,它使用受害者的显卡为攻击者挖掘加密货币。由于捆绑文件中存在合法的NirsoftNirCmd工具nir.exe,启动时所有可执行文件都是隐藏的,不会在界面上生成窗口或任何任务栏图标,受害者很难发现这些情况。YouTube上自我传播的红线值得一提的是,卡巴斯基在档案中发现了一种“不寻常且有趣”的自我传播机制,该机制允许恶意软件自我传播给互联网上的其他受害者。具体来说,RAR包含运行三个恶意可执行文件的批处理文件,即“MakiseKurisu.exe”、“download.exe”和“upload.exe”,它们执行捆绑式自我传播。RAR(Kaspersky)中包含的文件首先是MakiseKurisu,它是广泛使用的C#密码窃取程序的修改版本,仅用于从浏览器中提取cookie并将其存储在本地。第二个可执行文件“download.exe”用于从YouTube下载视频,这些视频是宣传恶意包的视频的副本。这些视频是从GitHub存储库中的链接下载的,以避免指向已被报告并从YouTube上删除的视频URL。YouTube宣传恶意软件的视频(卡巴斯基)第三个是“upload.exe”,用于将恶意软件宣传视频上传到YouTube。使用窃取的cookie登录受害者的YouTube帐户,并通过他们的频道传播捆绑的恶意软件。上传恶意视频的代码(卡巴斯基)卡巴斯基在报告中解释说,[upload.exe]使用PuppeteerNode库,它提供了一个高级API,用于使用DevTools协议管理Chrome和MicrosoftEdge。当视频成功上传到YouTube时,upload.exe会向Discord发送一条消息,其中包含上传视频的链接。生成Discord通知(Kaspersky)如果YouTube频道所有者不是每天都很活跃,他们就不太可能意识到他们在YouTube上推广了恶意软件,这使得YouTube上的审查和删除变得更加困难。参考文章:https://www.bleepingcomputer.com/news/security/new-malware-bundle-self-spreads-through-youtube-gaming-videos/
