YouTube-brukere blir advart om videoer som lurer lett på en trojan som stjeler passord

YouTube Videos Promote Password Stealing Malware

I april snakket sikkerhetsforskere fra Fortinet om en pågående kampanje som spredte en informasjonsstela malware som ble kalt Predator the Thief. Kampanjen det gjelder hadde vært aktiv siden minst juli 2018, og den var rettet mot russisktalende brukere. Den skadelige operatøren hadde kjøpt Predator the Thief fra forfatteren på et hackeforum og distribuerte det ved hjelp av nøye utformede kjørbare filer tilknyttet e-post og poserte som Word-dokumenter.

Hvorvidt nettopp denne gjengen med nettkriminelle sprer Predator the Thief, er vanskelig å si. Det vi imidlertid vet er at det for øyeblikket er en annen kampanje. Den retter seg mot et mye bredere spekter av brukere, og det bruker en relativt ukonvensjonell infeksjonsvektor.

Predator the Thief angriper bitcoin-entusiaster som vil tjene en rask sum

Opplegget er så enkelt som det er smart. Alt skurkene trenger å gjøre er å lokke naive brukere til en YouTube-video og så håpe at seerne blir for fristet av penger-for-ingenting-ordningen til å legge merke til at noe ikke stemmer helt.

Til tross for at det nå er snakket om hele kampanjen i et par dager, er den aktuelle videoen fremdeles oppe og tilgjengelig for alle. Etter å ha sett det, kan vi definitivt se hvorfor noen brukere vil falle for det. Det er ikke bare en reklame. Det er en full fire minutter lang instruksjonsvideo som angivelig viser hvordan ordningen fungerer.

Angivelig at du bare laster ned og installerer et verktøy og skriver deretter inn adressen til lommeboken du vil tømme sammen med noen andre opplysninger. Programmet gjør sin magi, og noen timer senere har du en kryptert versjon av den viktige private nøkkelen. Å dekryptere det tar litt lengre tid, men til slutt antyder videoen at du vil være i stand til å stikke av med andres bitcoins uten nesten innsats.

Og du vet hva den beste biten er? Det er en kobling til verktøyet for gjenoppretting av privat nøkkel i videoens beskrivelse.

Det er faktisk tre lenker som fører til den samme filen som er vert på tre forskjellige plattformer: Yandex Disk, Google Drive og Mega. I et forsøk på å gjøre mistenkelige brukere rolig, sier forfatteren av videoen at fordi koblingene fører til legitime nettskyvertjenester, kan filen umulig infiseres med skadelig programvare. Gitt at du leser dette, vil du sannsynligvis ikke bli for overrasket over å vite at det er det.

Hvordan rovdyr tyven fungerer

Opplegget ble først oppdaget av en uavhengig sikkerhetsforsker som går på Twitter-håndtaket @0xFrost, og malware-operasjonen ble senere analysert av Bleeping Computer.

Brukere som faller for svindelen laster ned et ZIP-arkiv med navnet Crypto World.zip som inneholder en uskadelig utseende kjørbar kalt setup.exe. Dette er selve trojaneren, og da ekspertene så på den, hadde den en veldig lav deteksjonshastighet på Virus Total, noe som viser at malware-forfatterne har lagt til noen nye funksjoner i skapelsen for å gjøre det stealthier. setup.exe trekker ut og slipper en annen kjørbar som kommuniserer med Command & Control (C&C) -serveren og tar seg av den viktigste informasjonen stjeler operasjonen.

Ut av boksen er skadelig programvare designet for å stjele innlogging og andre data fra nettlesere, online spillapplikasjoner, FTP, VPN og direktemeldinger og tofaktors autentiseringstjenester. Den kan også bruke enhetens webkamera til å ta bilder og spille inn videoer, skrape utklippstavlen og til og med stjele bestemte filer. Ytterligere moduler lastet ned fra C&C kan utvide mulighetene ytterligere.

Dessverre er det ingen som vet hvor mange mennesker Rovdyr tyven allerede har truffet, og hva slags informasjon som er blitt hentet. Gitt at videoen som starter hele infeksjonskjeden fremdeles er i live, vil vi imidlertid anbefale cryptocurrency-fans å være spesielt forsiktige. Dette, husk på deg, er noe de allerede burde vite.

Vær forsiktig med cryptocurrency-relaterte svindel

Dette er ikke den første bitcoin-relaterte bli rik-raskt-ordningen, og med all sannsynlighet vil den ikke være den siste. Det er synd at Google tar så lang tid på å slette videoen fra YouTube, men sannheten er at etter at den har koblet seg frakoblet, vil kriminelle finne andre måter å selge deg noe som høres for godt ut til å være sant og sannsynligvis er. Det enkle faktum er at hvis du er i cryptocurrency, må du hele tiden være på utkikk etter folk som prøver å svindle deg ut av pengene dine og/eller dataene dine.

November 13, 2019
Laster ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.