YouTube-gebruikers worden gewaarschuwd voor video's die stiekem een wachtwoord-stealing trojan promoten
In april spraken beveiligingsonderzoekers van Fortinet over een lopende campagne die informatie-stelende malware verspreidde, Predator the Thief genaamd. De campagne in kwestie was sinds minstens juli 2018 actief en was gericht op Russisch sprekende gebruikers. De malware-exploitanten hadden Predator the Thief van de auteur op een hackforum gekocht en verspreidden het met behulp van zorgvuldig samengestelde uitvoerbare bestanden die aan e-mails waren toegevoegd en die zich als Word-documenten voordeden.
Of deze specifieke bende cybercriminelen nog steeds Predator the Thief verspreidt, is moeilijk te zeggen. Wat we wel weten, is dat er momenteel een andere campagne is. Het richt zich op een veel breder bereik van gebruikers en gebruikt een relatief onconventionele infectievector.
Table of Contents
Predator the Thief valt bitcoin-enthousiastelingen aan die snel geld willen verdienen
Het schema is net zo eenvoudig als slim. Het enige dat de boeven moeten doen, is naïeve gebruikers lokken naar een YouTube-video en dan hopen dat de kijkers te verleid worden door het geld-voor-niets-schema om op te merken dat er iets niet klopt.
Ondanks het feit dat de hele campagne nu al een paar dagen actief is, is de video in kwestie nog steeds voor iedereen toegankelijk. Na het gezien te hebben, kunnen we zeker zien waarom sommige gebruikers ervoor zouden vallen. Het is niet alleen maar een advertentie. Het is een volledige instructievideo van vier minuten die naar verluidt laat zien hoe het schema werkt.
Blijkbaar download en installeer je eenvoudig een tool en voer je vervolgens het adres in van de portemonnee die je wilt aftappen, samen met wat andere informatie. Het programma doet zijn magie, en een paar uur later heb je een gecodeerde versie van de uiterst belangrijke privésleutel. Het decoderen duurt iets langer, maar uiteindelijk suggereert de video dat je zonder moeite met de bitcoins van iemand anders op pad kunt.
En weet je wat het beste is? Er is een link naar de hersteltool voor de privésleutel in de beschrijving van de video.
In feite zijn er drie koppelingen die naar hetzelfde bestand leiden dat op drie verschillende platforms wordt gehost: Yandex Disk, Google Drive en Mega. In een poging om verdachte gebruikers op hun gemak te stellen, zegt de auteur van de video dat het bestand onmogelijk kan worden geïnfecteerd met malware, omdat de koppelingen leiden tot legitieme cloudhostingservices. Aangezien u dit leest, zult u waarschijnlijk niet te verrast zijn om te horen dat het zo is.
Hoe Predator the Thief werkt
Het schema werd voor het eerst ontdekt door een onafhankelijke beveiligingsonderzoeker die de Twitter-handle @0xFrost hanteert en de malware-operatie werd later geanalyseerd door Bleeping Computer.
Gebruikers die vallen voor de zwendel downloaden een ZIP-archief met de naam Crypto World.zip, dat een onschadelijk ogend uitvoerbaar bestand met de naam setup.exe bevat . Dit is de trojan zelf, en toen de experts ernaar keken, had het een zeer laag detectiepercentage op Virus Total, wat aantoont dat de malware-auteurs enkele nieuwe functies aan hun creatie hebben toegevoegd om het heimelijker te maken. setup.exe extraheert en laat een ander uitvoerbaar bestand vallen dat communiceert met de Command & Control (C&C) -server en zorgt voor de belangrijkste informatie-stelende operatie.
De out-of-the-box, de malware is ontworpen om login- en andere gegevens te stelen van browsers, online gaming-applicaties, FTP-, VPN- en instant messaging-clients en tweefactorauthenticatieservices. Het kan ook de webcamera van het apparaat gebruiken om foto's te maken en video's op te nemen, het klembord te schrapen en zelfs specifieke bestanden te stelen. Extra modules gedownload van de C&C kunnen de mogelijkheden verder uitbreiden.
Helaas weet niemand hoeveel mensen Predator the Thief al heeft getroffen en wat voor soort informatie is verzameld. Aangezien de video die de hele infectieketen start, nog steeds live is, raden we cryptocurrency-fans echter aan om vooral voorzichtig te zijn. Dit, let wel, is iets dat ze al zouden moeten weten.
Pas op voor cryptocurrency-gerelateerde oplichting
Dit is niet het eerste bitcoin-gerelateerde get-rich-quick-schema en het zal naar alle waarschijnlijkheid niet het laatste zijn. Het is jammer dat Google er zo lang over doet om de video van YouTube te verwijderen, maar de waarheid is dat criminelen, nadat deze offline zijn gegaan, andere manieren zullen vinden om je iets te verkopen dat te mooi klinkt om waar te zijn en dat waarschijnlijk ook is. Het simpele feit is dat als je van cryptocurrency houdt, je constant op zoek moet zijn naar mensen die je uit je geld en/of gegevens proberen te bedriegen.
