YouTube bị nhắm mục tiêu phát tán mã độc đánh cắp thông tin RedLine tự lây lan

www.tuoitre.vn -   09/09/2022 12:00:00 755

Phát tán mã độc qua YouTube là một phương thức mới được tội phạm mạng áp dụng. Chúng thường làm giả các video hướng dẫn cheat game, hack game, crack game và gắn link tải phần mềm hack, crack, cheat game trong phần mô tả. Thực tế, những phần mềm này chứa mã độc với khả năng đánh cắp thông tin hoặc mã hóa dữ liệu của nạn nhân.

YouTube bị nhắm mục tiêu phát tán mã độc đánh cắp thông tin RedLine tự lây lan

Mới đây, các nhà nghiên cứu còn phát hiện ra một gói mã độc có khả năng tự lây lan chính nó trên YouTube.

Trong báo cáo mới của Kaspersky, các nhà nghiên cứu của họ đã tìm thấy một file RAR chứa một vài mã độc nhưng đáng chú ý nhất là RedLine. Hiện tại, RedLine là một trong những mã độc đánh cắp thông tin phổ biến nhất.

RedLine có thể lấy cắp thông tin được lưu trữ trong trình duyệt web của nạn nhân, chẳng hạn như cookie, mật khẩu tài khoản và thẻ tín dụng, truy cập các cuộc trò chuyện trong ứng dụng nhắn tin và ví điện tử...

Ngoài ra, một công cụ khai thác tiền ảo cũng được đưa vào file RAR. Công cụ này sẽ tận dụng card đồ họa của nạn nhân để khai thác tiền ảo cho hacker.

Nhờ tiện ích Nirsoft NirCmd có tên "nir.exe" hợp pháp tích hợp trong gói, tất cả các tệp thực thi đều chạy ẩn và không tạo cửa sổ giao diện hay bất kỳ biểu tượng nào trên taskbar. Do đó, nạn nhân không hề hay biết gì.

Khám phá sâu hơn, Kaspersky phát hiện ra một cơ chế tự lây lan bất thường và thú vị ẩn trong file RAR. Nó cho phép các mã độc này tự lây lan sang các nạn nhân khác trên internet.

YouTube bị nhắm mục tiêu phát tán mã độc đánh cắp thông tin RedLine tự lây lan

Cụ thể, file RAR chứa các file batch có khả năng chạy ba file thực thi độc hại mang tên "MakiseKurisu.exe", "download.exe" và "upload.exe". Ba file thực thi này có nhiệm vụ thực hiện quá trình tự lây lan.

Đầu tiên, MakiseKurisu là phiên bản đã được chỉnh sửa của trình đánh cắp mật khẩu viết bằng C# khá phổ biến. Nó được dùng để trích xuất cooki từ các trình duyệt và lưu trữ chúng cục bộ.

File thực thi thứ hai, "download.exe", được dùng để tải xuống video từ YouTube, chính là các video quảng bá cho gói mã độc. Các video được tải xuống từ link được tìm nạp từ một repo GitHub để tránh trỏ đến các URL video đã bị báo cáo và xóa khỏi YouTube.

Cuối cùng, "upload.exe" được sử dụng để tải video quảng bá mã độc lên YouTube. Nó dùng chính cookie đánh cắp được để đăng nhập vào tài khoản YouTube của nạn nhân và phát tán gói mã độc này qua kênh của họ.

"Upload.exe sử dụng thư viện Puppeteer Node, cung cấp API cấp cao để quản lý Chrome và Microsoft Edge bằng giao thức DevTools", Kaspersky giải thích. "Khi video được tải lên YouTube thành công, upload.exe sẽ gửi một thông báo tới Discord cùng một liên kết đến video đã tải lên".

Mặc dù hacker được thông báo về video mới tải lên nhưng chủ sở hữu kênh lại khó có thể nhận ra họ đang quảng bá mã độc trên YouTube nếu như họ không hoạt động nhiều trên nên tảng này.

Phương thức phân phối tinh vi này khiến việc giám sát và gỡ bỏ trên YouTube trở nên khó khăn hơn vì các video trỏ đến các nội dung tải xuống độc hại được đăng tải bởi các tài khoản có hồ sơ sạch sẽ trong thời gian dài.

Theo The HackerNews

TIN CÙNG CHUYÊN MỤC

Lưu ý cập nhật ngay bản vá lỗ hổng Googl...

01/12/2023 12:00:00 19
Điều khiến lỗ hổng trở nên tồi tệ nằm ở thực tế là nó hiện đang bị khai thác ngoài thực tế chứ không...

Apple tung ra bản vá iOS, macOS và Safar...

30/11/2023 08:00:00 22
Apple đã phát hành bản cập nhật phần mềm cho trình duyệt web iOS, iPadOS, macOS và Safari để giải qu...

Microsoft mặc định cài ứng dụng HP Smart...

30/11/2023 12:00:00 17
Cũng cần lưu ý rằng chương trình này dường như đến từ một nguồn hợp pháp, vì vậy sự hiện diện của nó...

Phần mềm độc hại Android FjordPhantom mớ...

29/11/2023 08:00:00 34
Các nhà nghiên cứu an ninh mạng đã tiết lộ một phần mềm độc hại Android tinh vi mới có tên FjordPhan...

Google Chrome đang bị tấn công tích cực,...

29/11/2023 08:00:00 20
Google đã tung ra các bản cập nhật bảo mật để khắc phục bảy vấn đề bảo mật trong trình duyệt Chrome ...

3 lưu ý trước khi xóa trình quản lý mật ...

29/11/2023 12:00:00 11
Nếu bạn muốn sử dụng một phương thức lưu trữ mật khẩu khác hoặc muốn giao diện của một ứng dụng khác...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ