Οι χρήστες του YouTube προειδοποιούνται για βίντεο που προωθούν λανθασμένα έναν κωδικό πρόσβασης-κλοπή Trojan

Τον Απρίλιο, οι ερευνητές ασφαλείας από το Fortinet μίλησαν για μια συνεχιζόμενη εκστρατεία που επεκτείνει ένα κακόβουλο λογισμικό κλοπής πληροφοριών που ονομάζεται Predator the Thief. Η εν λόγω εκστρατεία ήταν ενεργή τουλάχιστον από τον Ιούλιο του 2018 και απευθυνόταν σε ρωσόφωνους χρήστες. Οι χειριστές κακόβουλου λογισμικού είχαν αγοράσει το Predator the Thief από τον συγγραφέα του σε ένα φόρουμ hacking και το διανέμουν με τη βοήθεια προσεκτικά δημιουργημένων εκτελέσιμων αρχείων που είναι συνημμένα σε μηνύματα ηλεκτρονικού ταχυδρομείου και παρουσιάζονται ως έγγραφα του Word.

Είτε η συγκεκριμένη συμμορία των εγκληματιών στον κυβερνοχώρο εξακολουθεί να εξαπλώνεται, ο Κλέφτης είναι δύσκολο να πει. Αυτό που γνωρίζουμε, ωστόσο, είναι ότι υπάρχει μια άλλη καμπάνια. Στόχευε ένα πολύ ευρύτερο φάσμα χρηστών και χρησιμοποιεί ένα σχετικά μη συμβατικό φορέα μόλυνσης.

Το Predator the Thief επιτίθεται στους λάτρεις του bitcoin που θέλουν να κάνουν γρήγορο buck

Το πρόγραμμα είναι τόσο απλό όσο είναι έξυπνο. Όλοι οι απατεώνες πρέπει να κάνουν είναι να δελεάσουν τους απηρχαιωμένους χρήστες σε ένα βίντεο στο YouTube και έπειτα να ελπίζουμε ότι οι θεατές θα είναι πολύ πειρασμένοι από το σχέδιο χρήματος για τίποτα για να παρατηρήσουν ότι κάτι δεν είναι σωστό.

Παρά το γεγονός ότι όλη η εκστρατεία έχει συζητηθεί ενεργά εδώ και μερικές μέρες, το εν λόγω βίντεο εξακολουθεί να είναι ψηλά και προσιτό σε κανέναν. Αφού το είδαμε, μπορούμε σίγουρα να δούμε γιατί μερικοί χρήστες θα πέσουν γι 'αυτό. Δεν είναι απλή διαφήμιση. Είναι ένα πλήρες εκπαιδευτικό βίντεο μήκους τεσσάρων λεπτών το οποίο υποτίθεται ότι δείχνει πώς λειτουργεί το πρόγραμμα.

Προφανώς, απλά κατεβάστε και εγκαταστήστε ένα εργαλείο και στη συνέχεια πληκτρολογήστε τη διεύθυνση του πορτοφολιού που θέλετε να αποστραγγίσετε μαζί με μερικές άλλες πληροφορίες. Το πρόγραμμα κάνει τη μαγεία του και λίγες ώρες αργότερα έχετε κρυπτογραφημένη έκδοση του σημαντικού ιδιωτικού κλειδιού. Η αποκρυπτογράφηση διαρκεί λίγο περισσότερο, αλλά στο τέλος, το βίντεο υποδεικνύει ότι θα είστε σε θέση να κάνετε off με bitcoins κάποιου άλλου με δίπλα σε καμία προσπάθεια.

Και ξέρετε ποιο είναι το καλύτερο κομμάτι; Υπάρχει σύνδεσμος στο εργαλείο ανάκτησης ιδιωτικού κλειδιού στην περιγραφή του βίντεο.

Στην πραγματικότητα, υπάρχουν τρεις σύνδεσμοι που οδηγούν στο ίδιο αρχείο που φιλοξενείται σε τρεις διαφορετικές πλατφόρμες: Disk Yandex, Google Drive και Mega. Σε μια προσπάθεια να τεθούν υπό αμφισβήτηση οι ύποπτοι χρήστες, ο συγγραφέας του βίντεο λέει ότι επειδή οι σύνδεσμοι οδηγούν σε νόμιμες υπηρεσίες cloud hosting, το αρχείο δεν μπορεί να μολυνθεί από κακόβουλο λογισμικό. Δεδομένου ότι έχετε διαβάσει αυτό, πιθανότατα δεν θα εκπλαγείτε να μάθετε ότι είναι.

Πώς λειτουργεί ο Πρεσβύτερος ο Κλέφτης

Το πρόγραμμα ανακαλύφθηκε για πρώτη φορά από έναν ανεξάρτητο ερευνητή ασφάλειας ο οποίος πηγαίνει από το χειριστήριο Twitter @ 0xFrost, και η λειτουργία malware αναλύθηκε αργότερα από την Bleeping Computer.

Οι χρήστες που πέφτουν για την απάτη κατεβάζουν ένα αρχείο ZIP που ονομάζεται Crypto World.zip το οποίο περιέχει ένα εκτεταμένο εκτελέσιμο αρχείο που ονομάζεται setup.exe. Αυτός είναι ο ίδιος ο δούρειος ίππος, και όταν οι ειδικοί τον κοίταζαν, είχε πολύ χαμηλό ποσοστό ανίχνευσης στο Virus Total, το οποίο δείχνει ότι οι συγγραφείς κακόβουλου λογισμικού έχουν προσθέσει κάποια νέα χαρακτηριστικά στη δημιουργία τους για να το καταστήσουν πιο stealthier. Το setup.exe αποσπά και αποβάλλει ένα άλλο εκτελέσιμο που επικοινωνεί με τον εξυπηρετητή Command & Control (C&C) και φροντίζει για την κύρια λειτουργία κλοπής πληροφοριών.

Από το κουτί, το κακόβουλο λογισμικό έχει σχεδιαστεί για να κλέβει τα στοιχεία σύνδεσης και άλλα δεδομένα από προγράμματα περιήγησης, εφαρμογές τυχερών παιχνιδιών σε απευθείας σύνδεση, πελάτες FTP, VPN και άμεσων μηνυμάτων και υπηρεσίες ταυτότητας δύο παραγόντων. Μπορεί επίσης να χρησιμοποιήσει την κάμερα web της συσκευής για να τραβήξει φωτογραφίες και να καταγράψει βίντεο, να ξεσκίσει το πρόχειρο και ακόμη και να κλέψει συγκεκριμένα αρχεία. Πρόσθετες ενότητες που έχουν ληφθεί από τη C&C μπορούν να διευρύνουν περαιτέρω τις δυνατότητές της.

Δυστυχώς, κανείς δεν ξέρει πόσοι άνθρωποι έχουν ήδη χτυπήσει ο Κλέφτης και τι είδους πληροφορίες έχουν καταστραφεί. Δεδομένου ότι το βίντεο που ξεκινάει ολόκληρη την αλυσίδα μόλυνσης εξακολουθεί να είναι ζωντανό, ωστόσο, θα συνιστούσαμε στους οπαδούς κρυπτοαξιολόγησης να είναι ιδιαίτερα προσεκτικοί. Αυτό, σκεφτείτε, είναι κάτι που πρέπει να γνωρίζουν ήδη.

Προσέξτε τις απάτες που σχετίζονται με την κρυπτογράφηση

Δεν πρόκειται για το πρώτο σχετικό με το bitcoin get-rich-quick πρόγραμμα και, κατά πάσα πιθανότητα, δεν θα είναι το τελευταίο. Είναι κρίμα που η Google παίρνει τόσο πολύ χρόνο για να διαγράψει το βίντεο από το YouTube, αλλά η αλήθεια είναι ότι, μετά την αποσύνδεση, οι εγκληματίες θα βρουν άλλους τρόπους να σας πουλήσουν κάτι που ακούγεται πολύ καλό για να είναι αλήθεια και πιθανόν να είναι. Το απλό γεγονός του θέματος είναι ότι αν είστε σε κρυπτογράφηση, πρέπει να είστε συνεχώς επιφυλακτικοί για τους ανθρώπους που προσπαθούν να σας απαλλάξουν από τα χρήματα και/ή τα δεδομένα σας.