Użytkownicy YouTube są ostrzegani o filmach, które podstępnie promują trojana wykradającego hasła
W kwietniu analitycy bezpieczeństwa z Fortinet rozmawiali o trwającej kampanii, która rozpowszechniała szkodliwe oprogramowanie kradnące informacje o nazwie Predator the Thief. Ta kampania była aktywna od co najmniej lipca 2018 r. I była skierowana do użytkowników rosyjskojęzycznych. Operatorzy złośliwego oprogramowania kupili Złodzieja Predatora od swojego autora na forum hakerskim i rozpowszechniali go za pomocą starannie spreparowanych plików wykonywalnych dołączonych do wiadomości e-mail i udających dokumenty Word.
Trudno powiedzieć, czy ten konkretny gang cyberprzestępców nadal rozprzestrzenia Predatora, Złodzieja. Wiemy jednak, że obecnie jest inna kampania. Jest skierowany do znacznie szerszego grona użytkowników i wykorzystuje stosunkowo niekonwencjonalny wektor infekcji.
Table of Contents
Predator the Thief atakuje entuzjastów bitcoinów, którzy chcą szybko zarobić pieniądze
Schemat jest tak prosty, jak sprytny. Wszystko, co muszą zrobić oszustów, to zwabić naiwnych użytkowników do filmu na YouTube, a następnie mieć nadzieję, że widzowie będą zbytnio kuszeni schematem „za nic”, aby zauważyć, że coś jest nie tak.
Pomimo faktu, że od kilku dni aktywnie rozmawia się o całej kampanii, omawiany film jest nadal dostępny i dostępny dla każdego. Widząc to, zdecydowanie możemy zrozumieć, dlaczego niektórzy użytkownicy się na to zakochali. To nie jest zwykła reklama. Jest to pełny czterominutowy film instruktażowy, który rzekomo pokazuje, jak działa ten schemat.
Najwyraźniej po prostu pobierasz i instalujesz narzędzie, a następnie podajesz adres portfela, który chcesz wyczerpać, wraz z innymi informacjami. Program robi swoją magię, a kilka godzin później masz zaszyfrowaną wersję najważniejszego klucza prywatnego. Odszyfrowanie trwa trochę dłużej, ale w końcu wideo sugeruje, że będziesz w stanie bez trudu zarobić na cudzych bitcoinach.
A wiesz, co jest najlepsze? W opisie filmu znajduje się link do narzędzia do odzyskiwania klucza prywatnego.
W rzeczywistości istnieją trzy łącza prowadzące do tego samego pliku hostowanego na trzech różnych platformach: Yandex Disk, Google Drive i Mega. Próbując uspokoić podejrzanych użytkowników, autor filmu twierdzi, że ponieważ linki prowadzą do legalnych usług hostingowych w chmurze, plik nie może zostać zainfekowany złośliwym oprogramowaniem. Biorąc pod uwagę, że to czytasz, prawdopodobnie nie będziesz zbyt zaskoczony, aby dowiedzieć się, że tak jest.
Jak działa Predator the Thief
Schemat został po raz pierwszy odkryty przez niezależnego badacza bezpieczeństwa, który zajmuje się uchwytem Twittera @0xFrost, a działanie szkodliwego oprogramowania zostało później przeanalizowane przez Bleeping Computer.
Użytkownicy, którzy zakochują się w oszustwie, pobierają archiwum ZIP o nazwie Crypto World.zip, które zawiera nieszkodliwie wyglądający plik wykonywalny o nazwie setup.exe. To jest sam trojan, a kiedy eksperci go obejrzeli, miał bardzo niski wskaźnik wykrycia wirusa Total Total, co pokazuje, że autorzy szkodliwego oprogramowania dodali nowe funkcje do ich tworzenia, aby uczynić go bardziej ukrytym. setup.exe wypakowuje i upuszcza inny plik wykonywalny, który komunikuje się z serwerem Command & Control (C&C) i zajmuje się główną operacją kradzieży informacji.
Po wyjęciu z pudełka szkodliwe oprogramowanie jest zaprojektowane do kradzieży danych logowania i innych danych z przeglądarek, aplikacji do gier online, FTP, VPN i komunikatorów oraz usług uwierzytelniania dwuskładnikowego. Może także używać kamery internetowej urządzenia do robienia zdjęć i nagrywania filmów, drapania schowka, a nawet kradzieży określonych plików. Dodatkowe moduły pobrane z C&C mogą dodatkowo poszerzyć jego możliwości.
Niestety, nikt nie wie, ile osób Złodziej Predator już uderzył i jakie informacje zostały splądrowane. Biorąc pod uwagę, że wideo, które rozpoczyna cały łańcuch infekcji, jest nadal aktywne, zalecamy fanom kryptowaluty, aby zachowali szczególną ostrożność. Pamiętajcie, że to już powinni wiedzieć.
Uważaj na oszustwa związane z kryptowalutami
To nie jest pierwszy szybki bit związany z bitcoinami i najprawdopodobniej nie będzie to ostatni. Szkoda, że Google tak długo usuwa wideo z YouTube, ale prawda jest taka, że po przejściu do trybu offline przestępcy znajdą inne sposoby na sprzedanie Ci czegoś, co brzmi zbyt dobrze, aby mogło być prawdziwe. Prostym faktem jest to, że jeśli interesujesz się kryptowalutą, musisz stale szukać osób próbujących wyłudzić Twoje pieniądze i/lub dane.
