Широко распространенные кампании вредоносного ПО создают видеоролики на YouTube для распространения троянских программ, ворующих пароли, среди ничего не подозревающих зрителей.
Трояны для кражи паролей - это вредоносные программы, которые незаметно запускаются на компьютере во время кражи паролей, снимков экрана активных окон, файлов cookie, кредитных карт, хранящихся в браузерах, учетных данных FTP и произвольных файлов, выбранных злоумышленниками.
После установки вредоносная программа будет взаимодействовать с сервером Command & Control, где ожидает выполнения команд злоумышленником, что может повлечь за собой запуск дополнительных вредоносных программ.
Вредоносные видео на YouTube стали безумными
Злоумышленники уже давно используют видеоролики YouTube как способ распространения вредоносного ПО через встроенные ссылки в описания видео.Однако на этой неделе исследователь безопасности Cluster25 Фрост сообщил BleepingComputer, что на YouTube наблюдается значительный рост вредоносных кампаний, распространяющих различные троянские программы для кражи паролей.
Фрост сообщил BleepingComputer, что, вероятно, одновременно осуществляются два кластера вредоносной активности: один запускает вредоносную программу RedLine, а другой - Racoon Stealer.
Исследователь сказал, что в рамках этой масштабной кампании вредоносного ПО были созданы тысячи видео и каналов: всего за двадцать минут было создано 100 новых видео и 81 канал.
Фрост объяснил, что злоумышленники используют учетные записи Google, которые они воруют, для запуска новых каналов YouTube для распространения вредоносного ПО, создавая бесконечный и постоянно растущий цикл.
«У злоумышленников есть тысячи новых каналов, потому что они заражают новых клиентов каждый день. В рамках этих атак они крадут учетные данные жертвы в Google, которые затем используются для создания новых видеороликов YouTube для распространения вредоносного ПО», - сказал Фрост BleepingComputer.
Атаки начинаются с того, что злоумышленники создают многочисленные каналы YouTube, заполненные видеороликами о взломах программного обеспечения, лицензиях, практических руководствах, криптовалюте, майнинге, читах в играх, программном обеспечении VPN и почти любой другой популярной категории.
Пример вредоносного канала на YouTubeЭти видеоролики содержат материалы, объясняющие, как выполнить задачу с помощью определенной программы или утилиты. Кроме того, описание видео на YouTube включает предполагаемую ссылку на связанный инструмент, используемый для распространения вредоносного ПО.
Вредоносное видео на YouTube, выталкивающее RedLine StealerЕсли видео содержит ссылку bit.ly, оно приведет к другому файлообменному сайту, на котором размещено вредоносное ПО RedLine для кражи паролей. Однако, если он включает в себя не укороченный домен, он будет перенаправлять на страницу в домене taplink [.] Cc, чтобы протолкнуть Racoon Stealer, как показано ниже.
Целевая страница Racoon StealerПосле заражения пользователя вредоносная программа продолжит сканирование всех установленных браузеров и компьютера на предмет криптовалютных кошельков, кредитных карт, паролей и других данных и загрузит их обратно злоумышленнику.
Google сообщил BleepingComputer, что они знают о кампании и принимают меры, чтобы помешать ей.
На этой неделе Google также раскрыл фишинговую кампанию, в ходе которой распространялись троянские программы для кражи паролей, используемые для кражи аккаунтов авторов YouTube. Затем эти учетные записи продавались на рынках даркнета или использовались для мошенничества с криптовалютой.
Скачивание программного обеспечения может быть опасным
Эти кампании демонстрируют, насколько важно не скачивать программы из Интернета наугад, поскольку такие сайты, как YouTube, не могут проверять каждую ссылку, добавленную издателями видео.Следовательно, пользователь должен изучить сайт перед загрузкой и установкой чего-либо с него, чтобы определить, имеет ли он хорошую репутацию и ему можно доверять. Даже в этом случае всегда рекомендуется сначала загрузить программу на такой сайт, как VirusTotal, чтобы убедиться, что запускать ее безопасно.
Если вы случайно подверглись этой атаке и установили программу по аналогичной ссылке, настоятельно рекомендуется просканировать компьютер с помощью антивирусной программы.
После того, как вы удалили все вредоносные программы, обнаруженные при сканировании на вирусы, вам следует немедленно изменить все пароли, сохраненные в ваших браузерах.
Перевод - Google
Bleeping Computer
