Cảnh báo: Phần mềm độc hại đang được phát tán qua… YouTube
Nhiều kênh YouTube đang được sử dụng làm công cụ phát tán phần mềm độc hại.
Theo TechRadar, các nhà nghiên cứu đã phát hiện ra một chiến dịch độc hại mới được sử dụng để phát tán chương trình đánh cắp thông tin RedLine Stealer, đáng chú ý là nó đi kèm với một cơ chế tự động lây lan rất thú vị.
Tin tặc sử dụng YouTube làm nền tảng để phát tán phần mềm độc hại.
Các chuyên gia an ninh mạng từ Kaspersky đã phát hiện ra phần mềm độc hại mới đăng nhập vào tài khoản YouTube của những người dùng bị xâm phạm và tải video lên kênh của họ để phát tán RedLine Infostealer.
Đặc biệt các nạn nhân của làn sóng tấn công mới này thường là những game thủ PC, những người thường xuyên tìm kiếm các bản crack hoặc phần mềm gian lận cho các tựa game nổi tiếng như FIFA, Final Fantasy, Forza Horizon, Lego Star Wars hoặc Spider-Man.
Các nạn nhân thường bị đánh lừa bởi những đường link giả mạo được chèn ở phần mô tả bên dưới video, với tuyên bố có thể giúp họ tải về những gì họ muốn, nhưng thực chất chúng là những địa chỉ lưu trữ những phần mềm độc hại được đóng gói chung với nhau.
RedLine Infostealer – phần mềm đánh cắp tiền ảo và thông tin cá nhân
Trong gói phần mềm độc hại sẽ có RedLine Stealer, một trong những công cụ đánh cắp thông tin phổ biến nhất hiện nay, nó có khả năng trộm mật khẩu được lưu trữ trong trình duyệt, cookie, chi tiết thẻ tín dụng, các đoạn tin nhắn và ví tiền điện tử.
Đi kèm với nó trong gói phần mềm là một cryptojacker, công cụ khai thác tiền điện tử với khả năng chiếm dụng tài nguyên hệ thống bị xâm phạm để đào tiền điện tử cho tin tặc. Việc khai thác tiền điện tử thường yêu cầu khả năng xử lý khá nhiều từ GPU, mà điều này thì các game thủ không hề thiếu.
Nhưng có lẽ thú vị nhất là gói phần mềm độc hại có 3 tệp thực thi được sử dụng để tự lây lan, gồm có “MakiseKurisu.exe”, “download.exe” và “upload.exe”.
MakiseKurisu là một công cụ quảng cáo lấy cookie của trình duyệt và lưu trữ cục bộ. Sau đó, download.exe sẽ lấy video có nội dung giả mạo từ kho lưu trữ GitHub và chuyển nó cho upload.exe, tệp này sẽ tải video đó lên tài khoản YouTube của nạn nhân, sau khi sử dụng cookie để đăng nhập.
Các video giả mạo cung cấp crack hoặc phần mềm gian lận được tải lên YouTube.
Nếu nạn nhân không sử dụng YouTube quá thường xuyên hoặc đã tắt thông báo, thì rất có thể video độc hại sẽ tồn tại trên kênh YouTube của họ một thời gian dài trước khi bị gỡ xuống.
Kaspersky giải thích: “Khi video được tải lên YouTube thành công, upload.exe sẽ gửi một thông báo tới Discord cùng với một liên kết đến video đã tải lên”.
Bình luận
