卡巴斯基发现的一个新恶意软件包具备蠕虫式传播的能力,新恶意软件包使用受害者的YouTube频道上传恶意视频教程,宣传流行视频游戏的虚假作弊和破解功能。
受害者在Youtube观看游戏破解相关视频,下载虚假破解工具包之后,恶意软件会偷偷下载该欺诈视频,再通过受害者Youtube帐号上传,从而导致该恶意视频迅速扩散。
中国网民要庆幸自己上不了YouTube,不过,这个恶意软件传播思路国内短视频平台也要警惕。
具备蠕虫性质的恶意软件捆绑包已在YouTube视频中传播,目标是FIFA、最终幻想、极限竞速地平线、乐高星球大战和蜘蛛侠的粉丝。
这些上传的视频包含下载虚假破解和作弊补丁的链接,但实际上,它们安装了相同的自我传播恶意软件包。
在卡巴斯基的一份新报告中,研究人员发现了一个包含恶意软件集合的RAR存档,其中最著名的是RedLine,它是目前分布最广泛的信息窃取程序之一。
RedLine可以窃取存储在受害者网络浏览器中的信息,例如cookie、帐户密码和信用卡,即时通讯对话内容,并窃取加密货币钱包。
RAR存档中还包含一个挖矿木马,利用受害者的显卡挖矿。
捆绑包中名为“nir.exe”的文件为Nirsoft出品的NirCmd实用程序,在启动时,所有可执行文件都将被隐藏,并且不会在界面或任何任务栏图标中生成窗口,因此一切都对受害者隐藏。
卡巴斯基在存档中发现了一种不寻常且有趣的自我传播机制,该机制允许恶意软件自我传播给互联网上的其他受害者。
RAR包含运行三个恶意可执行文件的批处理文件,即“MakiseKurisu.exe”、“download.exe”和“upload.exe”,它们执行捆绑包的自我传播。
RAR中包含的文件(Kaspersky)
第一个是MakiseKurisu,是广泛使用的C#密码窃取程序的修改版本,仅用于从浏览器中提取cookie并将其存储在本地。
第二个可执行文件“download.exe”用于从YouTube下载视频,该视频是恶意宣传视频的副本。
最后,“upload.exe”用于将恶意软件宣传视频上传到YouTube,使用被盗的cookie登录受害者的YouTube帐户并通过他们的频道传播捆绑包。因此,构成一个本地计算机在youtube之间的蠕虫式传播链。
这种激进的分发方法使YouTube上的审查和删除变得更加困难,因为指向恶意下载的视频可能是真实youtube用户无意中中毒而自动上传的。
参考资料:https://www.bleepingcomputer.com
,
