Gracze na celowniku oszustów. Atakują za pośrednictwem YouTube

Kaspersky na swoim blogu Securelist ostrzega przed samodzielnie rozprzestrzeniającym się szkodliwym oprogramowaniem atakującym graczy za pośrednictwem filmów z YouTube. Jak wynika z raportu firmy, jest to nietypowy pakiet, który zawiera szkodliwe programy dystrybuowane w postaci pojedynczego pliku instalacyjnego, samorozpakowującego się archiwum lub innego pliku z funkcjonalnością typu instalatora.

Jego głównym ładunkiem jest szeroko rozpowszechniony RedLine stealer – jeden z najczęstszych trojanów wykorzystywanych do kradzieży haseł i danych uwierzytelniających z przeglądarek. Według raportu firmy Kaspersky pakiet jest dostępny na podziemnych forach hakerskich za zaledwie kilkaset dolarów, co jest niewielką ceną za szkodliwe oprogramowanie.

RedLine może wykradać nazwy użytkowników, hasła, pliki cookie, dane kart bankowych i dane autouzupełniania z przeglądarek opartych na Chromium i Gecko, dane z portfeli kryptowalutowych, komunikatorów internetowych i klientów FTP/SSH/VPN. Ponadto RedLine może pobierać i uruchamiać programy innych firm, wykonywać polecenia i otwierać linki w domyślnej przeglądarce. Obok stealera w pakiecie znajdują się inne pliki, które ułatwiają samodzielne rozprzestrzenianie się złośliwego oprogramowania.

W procesie tym kanały YouTube są hakowane, a następnie zamieszczane są na nich filmy ze złośliwym oprogramowaniem. "Filmy te reklamują cheaty i cracki oraz zawierają instrukcje dotyczące hakowania popularnych gier i oprogramowania" – czytamy w raporcie. Google, które zostało zacytowane przez badaczy, twierdzi, że zhakowane kanały zostały szybko zamknięte za naruszenie wytycznych dla społeczności firmy. Gry, do których cheaty i cracki zostały wymienione w filmach, to:

• APB Reloaded,
• CrossFire,
• DayZ,
• Dying Light 2,
• F1 22,
• Farming Simulator,
• Farthest Frontier,
• FIFA 22,
• Final Fantasy XIV,
• Forza,
• Lego Star Wars,
• Osu!,
• Point Blank,
• Project Zomboid,
• Rust,
• Sniper Elite,
• Spider-Man,
• Stray,
• Thymesia,
• VRChat
• i Walken.

Po uzyskaniu dostępu złośliwy pakiet rozpakowuje i uruchamia trzy pliki wykonywalne. Pierwszy z nich to stealer RedLine, a drugi to miner. Raport zdradza, że główną grupą docelową są gracze, którzy prawdopodobnie mają karty graficzne zainstalowane w swoich systemach. Mogą być one wykorzystywane do wydobywania kryptowalut. Trzeci plik wykonywalny zapewnia automatyczne uruchamianie i włącza pierwszy z plików wsadowych. Z kolei te pliki wsadowe uruchamiają trzy inne złośliwe pliki, które są odpowiedzialne za samodzielną dystrybucję pakietu.