YouTube-användare varnas för videor som sneakily främjar en lösenordsstjälande trojan
I april berättade säkerhetsforskare från Fortinet om en pågående kampanj som sprider ett informationsstjälande skadligt program som kallas Predator the Thief. Kampanjen i fråga hade varit aktiv sedan minst juli 2018, och den riktades till rysktalande användare. De skadliga operatörerna hade köpt Predator the Thief från sin författare på ett hackningsforum och distribuerade det med hjälp av noggrant utformade körbara filer kopplade till e-postmeddelanden och poserade som Word-dokument.
Huruvida just detta gäng cyberbrottslingar sprider Predator the Thief är svårt att säga. Vad vi dock vet är att det för närvarande finns en annan kampanj. Den riktar sig till ett mycket större antal användare och använder en relativt okonventionell infektionsvektor.
Table of Contents
Predator the Thief attackerar bitcoinentusiaster som vill tjäna ett snabbt pengar
Schemat är lika enkelt som det är smart. Allt skurkarna behöver göra är att locka naiva användare till en YouTube-video och sedan hoppas att tittarna blir för frestade av pengar-för-inget-schemat för att märka att något inte är riktigt.
Trots att hela kampanjen nu har talats aktivt om ett par dagar är videon i fråga fortfarande uppe och tillgänglig för alla. Efter att ha sett det kan vi definitivt se varför vissa användare skulle falla för det. Det är inte bara en reklam. Det är en full fyra minuter lång instruktionsvideo som påstås visa hur schemat fungerar.
Uppenbarligen laddar du ner och installerar ett verktyg och anger sedan adressen till plånboken du vill tömma tillsammans med andra informationer. Programmet gör sin magi, och några timmar senare har du en krypterad version av den viktiga privata nyckeln. Avkryptering av det tar lite längre tid, men i slutändan antyder videon att du kommer att kunna göra dig av med någon annans bitcoins utan nästan ansträngning.
Och du vet vad den bästa biten är? Det finns en länk till det privata nyckelåterställningsverktyget i videoklippets beskrivning.
Det finns faktiskt tre länkar som leder till samma fil värd på tre olika plattformar: Yandex Disk, Google Drive och Mega. I ett skinkfistat försök att lägga misstänkta användare på lätthet, säger videoens författare att eftersom länkarna leder till legitima molntjänsttjänster kan filen inte infekteras med skadlig programvara. Med tanke på att du läser detta kommer du förmodligen inte att bli förvånad över att veta att det är det.
Hur rovdjuren fungerar
Schemat upptäcktes först av en oberoende säkerhetsforskare som går via Twitter-handtaget @0xFrost, och skadeprogrammet analyserades senare av Bleeping Computer.
Användare som faller för bedrägeriet laddar ner ett ZIP-arkiv med namnet Crypto World.zip som innehåller en oskadlig utseende som kan kallas setup.exe. Det här är själva trojanen, och när experterna tittade på den hade den en mycket låg upptäcktsfrekvens på Virus Total, vilket visar att malware-författarna har lagt till några nya funktioner i skapelsen för att göra det stealthier. setup.exe extraherar och tappar en annan körbar dator som kommunicerar med Command & Control (C&C) -servern och tar hand om den huvudsakliga informationen att stjäla operationen.
Utanför lådan är skadlig programvara utformad för att stjäla inloggning och annan data från webbläsare, applikationer på nätet, FTP, VPN och snabbmeddelandeklienter och tvåfaktors autentiseringstjänster. Den kan också använda enhetens webbkamera för att ta foton och spela in videor, skrapa urklippet och till och med stjäla specifika filer. Ytterligare moduler som laddas ner från C&C kan ytterligare utvidga dess kapacitet.
Tyvärr är det ingen som vet hur många rovdjur tyven redan har träffat och vilken typ av information som har överförts. Med tanke på att videon som startar hela infektionskedjan fortfarande är live, skulle vi dock råda cryptocurrency fans att vara särskilt försiktiga. Detta, tänk på er, är något de redan bör veta.
Var försiktig med cryptocurrency-relaterade bedrägerier
Detta är inte det första bitcoin-relaterade bli-rich-quick-schemat, och med all sannolikhet kommer det inte att vara det sista. Det är synd att Google tar så lång tid att ta bort videon från YouTube, men sanningen är att efter att den har gått offline kommer brottslingar att hitta andra sätt att sälja dig något som låter för bra för att vara sant och förmodligen är det. Det enkla faktumet är att om du är i cryptocurrency måste du ständigt leta efter människor som försöker svindla dig ur dina pengar och/eller data.
