9月15日,卡巴斯基釋出了一篇研究報告,表示注意到一種針對遊戲作弊玩家的惡意捆綁包,該捆綁包透過YouTube上宣傳作弊及破解的影片分享連結下載,內含RedLineStealer資訊竊取惡意軟體和挖礦木馬。而不同尋常的是,該捆綁包能夠利用受害者的YouTube賬號繼續上傳作弊及破解影片,從而進行裂變式傳播。
相關影片涉及的遊戲包括全面通緝、穿越火線、DayZ、消逝的光芒、F1® 22、模擬農場、Farthest Frontier、FIFA 22、最終幻想XIV、Forza、樂高星球大戰、Osu!等。
RedLine竊取器於2020年3月首次被發現,是目前最常見的木馬之一。該惡意軟體允許攻擊者竊取多種敏感資訊,包括儲存在瀏覽器中的使用者名稱、密碼、Cookie、銀行卡詳細資訊和自動填充資料,加密錢包、即時通訊工具和FTP / SSH / VPN客戶端資料,以及受感染裝置上特定副檔名的檔案。此外,RedLine還能夠下載和執行第三方程式,以cmd.exe執行命令以及在預設瀏覽器中開啟連結。該惡意軟體在地下駭客論壇上公開售賣,較之其他惡意軟體,價格相對低廉,僅需幾百美元。
使用者透過影片附帶的連結下載的原始壓縮包是一個自解壓的RAR檔案,其中包含惡意檔案和自動執行解壓縮內容的指令碼。
受害者雙擊自解壓檔案時,將會執行三個可執行檔案:第一個是上文提到的RedLine竊取器,第二個是加密貨幣挖礦木馬,最後一個可執行檔案則會將自身複製到%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup目錄,以確保自動啟動並執行第一個批處理檔案。
批處理檔案會依次執行其他三個惡意檔案:MakiseKurisu.exe、download.exe和upload.exe。這三個惡意檔案分別負責提取Cookie以登陸受害者的YouTube賬號、下載相關影片、上傳影片至YouTube。
而且,如果這些受害者在YouTube平臺上不是很活躍,他們甚至有可能長時間都無法意識到他們正在YouTube上推廣惡意軟體。這種裂變式的傳播方法使得YouTube上的審查和刪除變得更加困難,因為附帶惡意軟體下載連結的影片大部分是從無違規記錄的帳戶上傳的。
據統計,從2021年7月1日至2022年6月30日,遭遇與遊戲相關的惡意軟體和垃圾軟體的使用者總數接近385000,其中超過91000個檔案以Minecraft、Roblox、極品飛車、俠盜獵車手和使命召喚等遊戲的名義分發。因此,對於遊戲作弊和破解工具,最好保持一個謹慎的心態。
編輯:左右裡
資訊來源:Kaspersky
轉載請註明出處和本文連結
每日漲知識
虛擬機器逃逸
指突破虛擬機器的限制,實現與宿主機作業系統互動的一個過程,攻擊者可以透過虛擬機器逃逸感染宿主機或者在宿主機上執行惡意軟體。
﹀
﹀
﹀