YouTube bị nhắm mục tiêu phát tán mã độc đánh cắp thông tin RedLine tự lây lan

www.tuoitre.vn -   09/09/2022 12:00:00 131

Phát tán mã độc qua YouTube là một phương thức mới được tội phạm mạng áp dụng. Chúng thường làm giả các video hướng dẫn cheat game, hack game, crack game và gắn link tải phần mềm hack, crack, cheat game trong phần mô tả. Thực tế, những phần mềm này chứa mã độc với khả năng đánh cắp thông tin hoặc mã hóa dữ liệu của nạn nhân.

YouTube bị nhắm mục tiêu phát tán mã độc đánh cắp thông tin RedLine tự lây lan

Mới đây, các nhà nghiên cứu còn phát hiện ra một gói mã độc có khả năng tự lây lan chính nó trên YouTube.

Trong báo cáo mới của Kaspersky, các nhà nghiên cứu của họ đã tìm thấy một file RAR chứa một vài mã độc nhưng đáng chú ý nhất là RedLine. Hiện tại, RedLine là một trong những mã độc đánh cắp thông tin phổ biến nhất.

RedLine có thể lấy cắp thông tin được lưu trữ trong trình duyệt web của nạn nhân, chẳng hạn như cookie, mật khẩu tài khoản và thẻ tín dụng, truy cập các cuộc trò chuyện trong ứng dụng nhắn tin và ví điện tử...

Ngoài ra, một công cụ khai thác tiền ảo cũng được đưa vào file RAR. Công cụ này sẽ tận dụng card đồ họa của nạn nhân để khai thác tiền ảo cho hacker.

Nhờ tiện ích Nirsoft NirCmd có tên "nir.exe" hợp pháp tích hợp trong gói, tất cả các tệp thực thi đều chạy ẩn và không tạo cửa sổ giao diện hay bất kỳ biểu tượng nào trên taskbar. Do đó, nạn nhân không hề hay biết gì.

Khám phá sâu hơn, Kaspersky phát hiện ra một cơ chế tự lây lan bất thường và thú vị ẩn trong file RAR. Nó cho phép các mã độc này tự lây lan sang các nạn nhân khác trên internet.

YouTube bị nhắm mục tiêu phát tán mã độc đánh cắp thông tin RedLine tự lây lan

Cụ thể, file RAR chứa các file batch có khả năng chạy ba file thực thi độc hại mang tên "MakiseKurisu.exe", "download.exe" và "upload.exe". Ba file thực thi này có nhiệm vụ thực hiện quá trình tự lây lan.

Đầu tiên, MakiseKurisu là phiên bản đã được chỉnh sửa của trình đánh cắp mật khẩu viết bằng C# khá phổ biến. Nó được dùng để trích xuất cooki từ các trình duyệt và lưu trữ chúng cục bộ.

File thực thi thứ hai, "download.exe", được dùng để tải xuống video từ YouTube, chính là các video quảng bá cho gói mã độc. Các video được tải xuống từ link được tìm nạp từ một repo GitHub để tránh trỏ đến các URL video đã bị báo cáo và xóa khỏi YouTube.

Cuối cùng, "upload.exe" được sử dụng để tải video quảng bá mã độc lên YouTube. Nó dùng chính cookie đánh cắp được để đăng nhập vào tài khoản YouTube của nạn nhân và phát tán gói mã độc này qua kênh của họ.

"Upload.exe sử dụng thư viện Puppeteer Node, cung cấp API cấp cao để quản lý Chrome và Microsoft Edge bằng giao thức DevTools", Kaspersky giải thích. "Khi video được tải lên YouTube thành công, upload.exe sẽ gửi một thông báo tới Discord cùng một liên kết đến video đã tải lên".

Mặc dù hacker được thông báo về video mới tải lên nhưng chủ sở hữu kênh lại khó có thể nhận ra họ đang quảng bá mã độc trên YouTube nếu như họ không hoạt động nhiều trên nên tảng này.

Phương thức phân phối tinh vi này khiến việc giám sát và gỡ bỏ trên YouTube trở nên khó khăn hơn vì các video trỏ đến các nội dung tải xuống độc hại được đăng tải bởi các tài khoản có hồ sơ sạch sẽ trong thời gian dài.

Theo The HackerNews

TIN CÙNG CHUYÊN MỤC

Phát hiện Dell, HP, Lenovo đang dùng các...

30/11/2022 08:00:00 72
Một phân tích về hình ảnh chương trình cơ sở trên các thiết bị của Dell, HP và Lenovo đã tiết lộ sự ...

Cập nhật ngay trình duyệt Chrome để vá l...

30/11/2022 08:00:00 80
Google hôm thứ Năm đã phát hành bản cập nhật phần mềm để giải quyết một lỗ hổng zero-day khác trong ...

Chế độ ẩn danh mới trên trình duyệt Chro...

30/11/2022 12:00:00 43
Không rõ tính năng này bắt đầu ra mắt khi nào nhưng Google chỉ kích hoạt săn nó theo mặc định cho mộ...

Hơn 300,000 thông tin Facebook bị hack q...

30/11/2022 12:00:00 38
Các ứng dụng lan truyền mã độc này được thiết kế núp bóng dưới dạng phần mềm đọc sách điện tử, với v...

Hàng triệu thiết bị Android vẫn chưa có ...

29/11/2022 08:00:00 90
Một bộ năm lỗ hổng bảo mật mức độ nghiêm trọng trung bình trong trình điều khiển GPU Mali của Arm đã...

Hàng loạt điện thoại Android dính mã độc...

29/11/2022 12:00:00 20
Đã có ít nhất 750 máy nhiễm mã độc nhưng do website chưa bị vô hiệu hóa và World Cup 2022 mới đi đượ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ