Hakerzy wykorzystują filmy z YouTube, aby nakłonić ludzi do zainstalowania złośliwego oprogramowania.
(Źródło zdjęcia: Shutterstock)
Filmy z YouTube wykorzystywane do promowania fałszywego oprogramowania do wydobywania bitcoinów.
Cyberprzestępcy zaczęli opierać się na YouTube jako sposobie rozpowszechniania silnego złośliwego oprogramowania, odkryli eksperci ds. bezpieczeństwa.
Badacze z Cyble Research Labs natknęli się ostatnio na ponad 80 filmów, wszystkie ze stosunkowo niewielką liczbą widzów i należące do tego samego użytkownika. Filmy wydają się demonstrować, jak działa oprogramowanie do wydobywania bitcoinów, próbując przekonać widzów do jego pobrania.
Link do pobrania znajduje się w opisie filmu i znajduje się w archiwum chronionym hasłem , aby przekonać ofiary o jego zasadności. Aby jeszcze bardziej zwiększyć efekt, pobrane archiwum zawiera również link do VirusTotal, pokazujący plik jako „czysty” i ostrzeżenie, że niektóre programy antywirusowe może wywołać fałszywy alarm pozytywny.
Brak fałszywych alarmów
Samo złośliwe oprogramowanie o nazwie PennyWise kradnie wszelkiego rodzaju dane, od informacji systemowych po dane logowania, pliki cookie, klucze szyfrowania i hasła główne. Kradnie również tokeny Discord i sesje Telegram, a po drodze wykonuje zrzuty ekranu.
Ponadto skanuje urządzenie pod kątem potencjalnych portfeli kryptowalut, danych portfela cold storage i dodatków przeglądarki związanych z kryptowalutami.
Kiedy zbiera wszystkie powyższe, kompresuje je do jednego pliku i wysyła na serwer pod kontrolą atakujących. Następnie ulega samozniszczeniu.
PennyWise jest również w stanie analizować swoje otoczenie i upewniać się, że nie działa w chronionym środowisku. Jeśli odkryje, że znajduje się w piaskownicy lub że na urządzeniu działa narzędzie analityczne, natychmiast zatrzyma wszystkie działania.
Badacze odkryli, że złośliwe oprogramowanie całkowicie zatrzyma wszystkie operacje, jeśli odkryje, że punkt końcowy ofiary znajduje się w Rosji, Ukrainie, Białorusi lub Kazachstanie, co daje pewną wskazówkę co do przynależności operatorów.
techradar
Filmy z YouTube wykorzystywane do promowania fałszywego oprogramowania do wydobywania bitcoinów.
Cyberprzestępcy zaczęli opierać się na YouTube jako sposobie rozpowszechniania silnego złośliwego oprogramowania, odkryli eksperci ds. bezpieczeństwa.
Badacze z Cyble Research Labs natknęli się ostatnio na ponad 80 filmów, wszystkie ze stosunkowo niewielką liczbą widzów i należące do tego samego użytkownika. Filmy wydają się demonstrować, jak działa oprogramowanie do wydobywania bitcoinów, próbując przekonać widzów do jego pobrania.
Link do pobrania znajduje się w opisie filmu i znajduje się w archiwum chronionym hasłem , aby przekonać ofiary o jego zasadności. Aby jeszcze bardziej zwiększyć efekt, pobrane archiwum zawiera również link do VirusTotal, pokazujący plik jako „czysty” i ostrzeżenie, że niektóre programy antywirusowe może wywołać fałszywy alarm pozytywny.
Brak fałszywych alarmów
Samo złośliwe oprogramowanie o nazwie PennyWise kradnie wszelkiego rodzaju dane, od informacji systemowych po dane logowania, pliki cookie, klucze szyfrowania i hasła główne. Kradnie również tokeny Discord i sesje Telegram, a po drodze wykonuje zrzuty ekranu.
Ponadto skanuje urządzenie pod kątem potencjalnych portfeli kryptowalut, danych portfela cold storage i dodatków przeglądarki związanych z kryptowalutami.
Kiedy zbiera wszystkie powyższe, kompresuje je do jednego pliku i wysyła na serwer pod kontrolą atakujących. Następnie ulega samozniszczeniu.
PennyWise jest również w stanie analizować swoje otoczenie i upewniać się, że nie działa w chronionym środowisku. Jeśli odkryje, że znajduje się w piaskownicy lub że na urządzeniu działa narzędzie analityczne, natychmiast zatrzyma wszystkie działania.
Badacze odkryli, że złośliwe oprogramowanie całkowicie zatrzyma wszystkie operacje, jeśli odkryje, że punkt końcowy ofiary znajduje się w Rosji, Ukrainie, Białorusi lub Kazachstanie, co daje pewną wskazówkę co do przynależności operatorów.
techradar