YouTube-brugere advares om videoer, der snedigt promoverer en Trojan med adgangskode-stjæler
I april talte sikkerhedsforskere fra Fortinet om en igangværende kampagne, der sprede en informationsstjælende malware kaldet Predator the Thief. Den pågældende kampagne havde været aktiv siden mindst juli 2018, og den var rettet mod russisk-talende brugere. Malware-operatørerne havde købt Predator the Thief fra sin forfatter på et hacking forum og distribuerede det ved hjælp af omhyggeligt udformede eksekverbare filer knyttet til e-mails og poserer som Word-dokumenter.
Hvorvidt denne særlige bande af cyberkriminelle stadig spreder Rovdyr tyven er vanskeligt at sige. Det, vi imidlertid ved, er, at der i øjeblikket er en anden kampagne. Det er målrettet mod et meget bredere spektrum af brugere, og det bruger en relativt ukonventionel infektionsvektor.
Table of Contents
Rovdyr tyven angriber bitcoin entusiaster, der ønsker at tjene en hurtig bukke
Ordningen er så enkel som den er smart. Alt, hvad skurkerne skal gøre, er at lokke naive brugere til en YouTube-video og så håbe, at seerne bliver for fristede af penge-for-intet-ordningen til at bemærke, at noget ikke er helt rigtigt.
På trods af det faktum, at der nu er talt aktivt om hele kampagnen i et par dage, er den aktuelle video stadig ope og tilgængelig for alle. Når vi har set det, kan vi bestemt se, hvorfor nogle brugere ville falde for det. Det er ikke en ren reklame. Det er en fuld fire minutter lang instruktionsvideo, som angiveligt viser, hvordan ordningen fungerer.
Tilsyneladende skal du blot downloade og installere et værktøj og derefter indtaste adressen på den tegnebog, du vil dræne sammen med nogle andre oplysninger. Programmet udfører sin magi, og få timer senere har du en krypteret version af den vigtige private nøgle. Afkryptering af det tager lidt længere tid, men i sidste ende antyder videoen, at du vil være i stand til at stoppe med en andens bitcoins uden næsten ingen anstrengelse.
Og ved du hvad den bedste bit er? Der er et link til det private nøglegendannelsesværktøj i videoens beskrivelse.
Faktisk er der tre links, der fører til den samme fil, der er vært på tre forskellige platforme: Yandex Disk, Google Drive og Mega. I et skinkefistet forsøg på at gøre mistænkelige brugere let, siger videoens forfatter, at fordi linkene fører til legitime cloud-hostingtjenester, kan filen umuligt inficeres med malware. I betragtning af at du læser dette, bliver du sandsynligvis ikke for overrasket over at vide, at det er.
Hvordan rovdyr tyven fungerer
Ordningen blev først opdaget af en uafhængig sikkerhedsforsker, der går ved Twitter-grebet @0xFrost, og malware-operationen blev senere analyseret af Bleeping Computer.
Brugere, der falder efter fidus, downloader et ZIP-arkiv ved navn Crypto World.zip, som indeholder en uskadelig udseende eksekverbar kaldet setup.exe . Dette er selve trojanen, og da eksperterne kiggede på den, havde den en meget lav detekteringshastighed på Virus Total, hvilket viser at malware-forfatterne har tilføjet nogle nye funktioner til deres oprettelse for at gøre det stealthier. setup.exe udtrækker og dropper en anden eksekverbar, der kommunikerer med Command & Control (C&C) -serveren og tager sig af den vigtigste informationstjæleoperation.
Ude af kassen er malware designet til at stjæle login og andre data fra browsere, online gaming applikationer, FTP, VPN og instant messaging-klienter og to-faktor autentificeringstjenester. Det kan også bruge enhedens webkamera til at tage fotos og optage videoer, skrabe klippebordet og endda stjæle specifikke filer. Yderligere moduler, der er hentet fra C&C, kan udvide dens muligheder yderligere.
Desværre er der ingen, der ved, hvor mange mennesker Rovdyr tyven allerede har ramt, og hvilken slags information der er blevet sendt. I betragtning af at videoen, der starter hele infektionskæden stadig er i live, vil vi dog anbefale cryptocurrency fans at være særlig omhyggelige. Dette, husk dig, er noget, de allerede burde vide.
Vær forsigtig med cryptocurrency-relaterede svindel
Dette er ikke den første bitcoin-relaterede get-rich-quick-ordning, og efter sandsynlighed vil det ikke være den sidste. Det er en skam, at Google tager så lang tid på at slette videoen fra YouTube, men sandheden er, at efter at den er offline, vil kriminelle finde andre måder at sælge dig noget der lyder for godt til at være sandt og sandsynligvis er. Den enkle kendsgerning er, at hvis du er i cryptocurrency, skal du konstant være på udkig efter folk, der prøver at svindle dig ud af dine penge og/eller data.
