YouTube-Nutzer werden vor Videos gewarnt, die heimlich für einen passwortdiebstahlenden Trojaner werben

YouTube Videos Promote Password Stealing Malware

Im April sprachen Sicherheitsforscher von Fortinet über eine laufende Kampagne, in der eine Malware namens Predator the Thief verbreitet wurde, die Informationen stiehlt. Die betreffende Kampagne war mindestens seit Juli 2018 aktiv und richtete sich an russischsprachige Nutzer. Die Malware-Betreiber hatten Predator the Thief von seinem Autor in einem Hacking-Forum gekauft und verteilten es mithilfe sorgfältig gestalteter ausführbarer Dateien, die an E-Mails angehängt waren und sich als Word-Dokumente ausgaben.

Ob diese spezielle Bande von Cyberkriminellen Predator the Thief immer noch verbreitet, ist schwer zu sagen. Was wir jedoch wissen, ist, dass es derzeit eine andere Kampagne gibt. Es richtet sich an einen viel größeren Anwenderkreis und verwendet einen relativ unkonventionellen Infektionsvektor.

Predator the Thief greift Bitcoin-Enthusiasten an, die schnell Geld verdienen wollen

Das Schema ist so einfach wie clever. Alles, was die Gauner tun müssen, ist, naive Nutzer zu einem YouTube-Video zu locken und dann zu hoffen, dass die Zuschauer von dem Geld-für-nichts-System zu versucht sind, um zu bemerken, dass etwas nicht ganz stimmt.

Trotz der Tatsache, dass die gesamte Kampagne nun seit einigen Tagen aktiv diskutiert wird, ist das fragliche Video immer noch aktiv und für jedermann zugänglich. Nachdem wir es gesehen haben, können wir definitiv sehen, warum einige Benutzer darauf hereinfallen würden. Es ist keine bloße Werbung. Es ist ein komplettes vierminütiges Anleitungsvideo, das angeblich zeigt, wie das Schema funktioniert.

Anscheinend laden Sie einfach ein Tool herunter und installieren es. Geben Sie dann die Adresse der Brieftasche ein, die Sie zusammen mit einigen anderen Informationen entleeren möchten. Das Programm zaubert, und wenige Stunden später haben Sie eine verschlüsselte Version des wichtigen privaten Schlüssels. Das Entschlüsseln dauert etwas länger, aber am Ende deutet das Video an, dass Sie ohne großen Aufwand mit den Bitcoins einer anderen Person zurechtkommen können.

Und wissen Sie, was das Beste ist? In der Beschreibung des Videos finden Sie einen Link zum Tool zur Wiederherstellung privater Schlüssel.

Tatsächlich gibt es drei Links, die zu derselben Datei führen, die auf drei verschiedenen Plattformen gehostet wird: Yandex Disk, Google Drive und Mega. In einem Versuch, verdächtige Benutzer zu beruhigen, erklärt der Autor des Videos, dass die Datei möglicherweise nicht mit Malware infiziert werden kann, da die Links zu legitimen Cloud-Hosting-Diensten führen. Wenn Sie dies lesen, werden Sie wahrscheinlich nicht überrascht sein, zu erfahren, dass dies der Fall ist.

Wie Predator the Thief funktioniert

Das Schema wurde zuerst von einem unabhängigen Sicherheitsforscher entdeckt, der das Twitter-Handle @0xFrost verwendet, und der Malware-Vorgang wurde später von Bleeping Computer analysiert.

Benutzer, die auf den Betrug hereinfallen, laden ein ZIP-Archiv mit dem Namen Crypto World.zip herunter, das eine harmlos aussehende ausführbare Datei namens setup.exe enthält. Dies ist der Trojaner selbst, und als die Experten ihn betrachteten, wies er eine sehr niedrige Erkennungsrate für Virus Total auf, was zeigt, dass die Malware-Autoren ihrer Erstellung einige neue Funktionen hinzugefügt haben, um sie verdeckter zu machen. setup.exe extrahiert und löscht eine andere ausführbare Datei, die mit dem Command & Control-Server (C&C) kommuniziert und die Hauptoperation zum Stehlen von Informationen übernimmt.

Die Malware ist standardmäßig so konzipiert, dass sie Anmeldedaten und andere Daten von Browsern, Online-Spieleanwendungen, FTP-, VPN- und Instant Messaging-Clients sowie Zweifaktor-Authentifizierungsdiensten stiehlt. Es kann auch die Webkamera des Geräts verwenden, um Fotos und Videos aufzunehmen, die Zwischenablage zu durchsuchen und sogar bestimmte Dateien zu stehlen. Zusätzliche Module, die von C&C heruntergeladen wurden, können die Funktionalität weiter erweitern.

Leider weiß niemand, wie viele Leute Predator the Thief bereits getroffen hat und welche Informationen gestohlen wurden. Da das Video, das die gesamte Infektionskette startet, noch live ist, raten wir Fans von Kryptowährungen, besonders vorsichtig zu sein. Das sollten sie wohlgemerkt schon wissen.

Seien Sie vorsichtig mit Betrügereien im Zusammenhang mit Kryptowährung

Dies ist nicht das erste Bitcoin-bezogene Get-Rich-Quick-Schema, und es wird höchstwahrscheinlich nicht das letzte sein. Es ist eine Schande, dass Google so lange braucht, um das Video von YouTube zu löschen, aber die Wahrheit ist, dass Kriminelle, nachdem es offline geht, andere Wege finden, um Ihnen etwas zu verkaufen, das zu gut klingt, um wahr zu sein, und das es wahrscheinlich auch ist. Die einfache Tatsache ist, dass Sie, wenn Sie sich für Kryptowährung interessieren, ständig nach Leuten Ausschau halten müssen, die versuchen, Sie um Ihr Geld und/oder Ihre Daten zu bringen.

November 13, 2019

Antworten

WICHTIG! Um fortfahren zu können, müssen Sie die folgende einfache Mathematik lösen.
Please leave these two fields as is:
Was ist 7 + 4 ?