A YouTube-felhasználókat figyelmeztetjük azokról a videókról, amelyek hihetetlenül népszerűsítik a jelszó-lopó trójai
Áprilisban a Fortinet biztonsági kutatói egy folyamatban lévő kampányról beszélt, amely egy Predator the Thief nevű, információt ellopó rosszindulatú szoftvert terjesztett. A szóban forgó kampány legalább 2018. július óta aktív volt, és az oroszul beszélő felhasználókra irányult. A rosszindulatú programok üzemeltetői egy hacker fórumon vásárolták meg a Predator the Thief-t a szerzőjétől, és gondosan kidolgozott, futtatható fájlok segítségével terjesztették őket e-mailekhez csatolva és Word-dokumentumokként feltüntetve.
Nehéz megmondani, hogy ez a kiberbűnözői banda továbbra is terjed-e a Tolvaj ragadozóval. Azt azonban tudjuk, hogy jelenleg van egy másik kampány. A felhasználók sokkal szélesebb körét célozza meg, és viszonylag nem szokásos fertőzésvektort használ.
Table of Contents
A Predator the Thief megtámadja a bitcoin rajongókat, akik gyors dolgot akarnak készíteni
A rendszer annyira egyszerű, mint okos. Csak annyit kell tennie, hogy csábítja a naiv felhasználókat egy YouTube-videóhoz, majd reméli, hogy a nézőket túlságosan is kísérti a "minden pénzért" program, hogy észrevegye, hogy valami nem igaz.
Annak ellenére, hogy az egész kampányról pár napig aktívan beszéltünk, a kérdéses videó még mindig fel van állítva és bárki számára elérhető. Miután megláttuk, határozottan megtudhatjuk, hogy egyes felhasználók miért esnek bele. Ez nem pusztán reklám. Ez egy teljes négyperces oktatóvideó, amely állítólag megmutatja a rendszer működését.
Nyilvánvalóan egyszerűen letölt és telepít egy szerszámot, majd más információkkal együtt megadja a leüríteni kívánt pénztárca címét. A program elvégzi a varázsait, és néhány órával később megkapja a titkosított verziót az összes fontos magánkulcsról. A visszafejtés egy kicsit hosszabb ideig tart, de a videó végül azt sugallja, hogy más erőfeszítések nélkül el tudsz lépni valaki más bitcoinjával.
És tudod, mi a legjobb? A videó leírásában található egy link a magánkulcs-helyreállítási eszközhöz.
Valójában három link vezet ugyanahhoz a fájlhoz, amely három különböző platformon található: Yandex Disk, Google Drive és Mega. Egy olyan sonkával történt kísérlet során, amely megkönnyíti a gyanús felhasználókat, a videó szerzője azt mondja, hogy mivel a linkek legitim felhőtárhely-szolgáltatásokat eredményeznek, a fájlt nem lehet fertőzni rosszindulatú programokkal. Mivel ezt elolvasta, valószínűleg nem fog meglepődni, amikor megtudja, hogy van.
Hogyan működik a ragadozó a tolvaj?
A sémát először egy független biztonsági kutató fedezte fel, aki a Twitter kezeli a @0xFrost kezelőfelületet, és a rosszindulatú programok későbbi elemzését a Bleeping Computer végezte.
Azok a felhasználók, akiknek csalódása van, letöltik a Crypto World.zip nevű ZIP-archívumot, amely egy ártalmatlan megjelenésû, futtatható setup.exe nevû végrehajtható fájlt tartalmaz. Maga a trójai, és amikor a szakértők megvizsgálták, nagyon alacsony volt a vírus-észlelési aránya a Virus Total-ban, ami azt mutatja, hogy a rosszindulatú programok szerzői új funkciókat adtak a létrehozásukhoz, hogy lopakodóbbá váljanak.. A setup.exe kibont és eldob egy másik végrehajtható fájlt, amely kommunikál a Command & Control (C&C) szerverrel, és gondoskodik a fő információlopó műveletről.
A dobozon kívül a rosszindulatú program célja a bejelentkezési adatok és egyéb adatok ellopása böngészőkből, online játékalkalmazásokból, FTP, VPN és azonnali üzenetküldő kliensekből, valamint két tényezőjű hitelesítési szolgáltatásokból. Az eszköz webkamerájával fényképeket készíthet és videókat rögzíthet, a vágólapot lekaparhatja, és adott fájlokat ellophat. A C&C-ből letöltött további modulok tovább bővíthetik képességeit.
Sajnos senki sem tudja, hogy hány ember rabszolga már eltalálta a tolvajt, és milyen információt halmoztak fel. Mivel a videó, amely elindítja a teljes fertőzési láncot, még mindig élő, a kriptovállalati rajongóknak azonban különösen óvatosságra javasoljuk. Ne feledje, ez valami, amit már tudniuk kellene.
Vigyázzon a kriptovalutákkal kapcsolatos csalásokkal kapcsolatban
Ez nem az első bitcoinnal kapcsolatos gyors meggazdagodási séma, és minden valószínűség szerint nem az utolsó. Kár, hogy a Google olyan hosszú időt vesz igénybe, hogy törölje a videót a YouTube-ról, de az igazság az, hogy offline állapotba kerülése után a bűnözők más módon fognak eladni valamit, ami túl jónak hangzik ahhoz, hogy igaz legyen, és valószínűleg az is. A helyzet egyszerű ténye, hogy ha kriptovalutába kerül, akkor folyamatosan figyelnie kell az embereket, akik megpróbálnak csalni téged pénzéből és/vagy adataiból.
