YouTube bị nhắm mục tiêu phát tán mã độc đánh cắp thông tin RedLine tự lây lan

www.tuoitre.vn -   09/09/2022 12:00:00 521

Phát tán mã độc qua YouTube là một phương thức mới được tội phạm mạng áp dụng. Chúng thường làm giả các video hướng dẫn cheat game, hack game, crack game và gắn link tải phần mềm hack, crack, cheat game trong phần mô tả. Thực tế, những phần mềm này chứa mã độc với khả năng đánh cắp thông tin hoặc mã hóa dữ liệu của nạn nhân.

YouTube bị nhắm mục tiêu phát tán mã độc đánh cắp thông tin RedLine tự lây lan

Mới đây, các nhà nghiên cứu còn phát hiện ra một gói mã độc có khả năng tự lây lan chính nó trên YouTube.

Trong báo cáo mới của Kaspersky, các nhà nghiên cứu của họ đã tìm thấy một file RAR chứa một vài mã độc nhưng đáng chú ý nhất là RedLine. Hiện tại, RedLine là một trong những mã độc đánh cắp thông tin phổ biến nhất.

RedLine có thể lấy cắp thông tin được lưu trữ trong trình duyệt web của nạn nhân, chẳng hạn như cookie, mật khẩu tài khoản và thẻ tín dụng, truy cập các cuộc trò chuyện trong ứng dụng nhắn tin và ví điện tử...

Ngoài ra, một công cụ khai thác tiền ảo cũng được đưa vào file RAR. Công cụ này sẽ tận dụng card đồ họa của nạn nhân để khai thác tiền ảo cho hacker.

Nhờ tiện ích Nirsoft NirCmd có tên "nir.exe" hợp pháp tích hợp trong gói, tất cả các tệp thực thi đều chạy ẩn và không tạo cửa sổ giao diện hay bất kỳ biểu tượng nào trên taskbar. Do đó, nạn nhân không hề hay biết gì.

Khám phá sâu hơn, Kaspersky phát hiện ra một cơ chế tự lây lan bất thường và thú vị ẩn trong file RAR. Nó cho phép các mã độc này tự lây lan sang các nạn nhân khác trên internet.

YouTube bị nhắm mục tiêu phát tán mã độc đánh cắp thông tin RedLine tự lây lan

Cụ thể, file RAR chứa các file batch có khả năng chạy ba file thực thi độc hại mang tên "MakiseKurisu.exe", "download.exe" và "upload.exe". Ba file thực thi này có nhiệm vụ thực hiện quá trình tự lây lan.

Đầu tiên, MakiseKurisu là phiên bản đã được chỉnh sửa của trình đánh cắp mật khẩu viết bằng C# khá phổ biến. Nó được dùng để trích xuất cooki từ các trình duyệt và lưu trữ chúng cục bộ.

File thực thi thứ hai, "download.exe", được dùng để tải xuống video từ YouTube, chính là các video quảng bá cho gói mã độc. Các video được tải xuống từ link được tìm nạp từ một repo GitHub để tránh trỏ đến các URL video đã bị báo cáo và xóa khỏi YouTube.

Cuối cùng, "upload.exe" được sử dụng để tải video quảng bá mã độc lên YouTube. Nó dùng chính cookie đánh cắp được để đăng nhập vào tài khoản YouTube của nạn nhân và phát tán gói mã độc này qua kênh của họ.

"Upload.exe sử dụng thư viện Puppeteer Node, cung cấp API cấp cao để quản lý Chrome và Microsoft Edge bằng giao thức DevTools", Kaspersky giải thích. "Khi video được tải lên YouTube thành công, upload.exe sẽ gửi một thông báo tới Discord cùng một liên kết đến video đã tải lên".

Mặc dù hacker được thông báo về video mới tải lên nhưng chủ sở hữu kênh lại khó có thể nhận ra họ đang quảng bá mã độc trên YouTube nếu như họ không hoạt động nhiều trên nên tảng này.

Phương thức phân phối tinh vi này khiến việc giám sát và gỡ bỏ trên YouTube trở nên khó khăn hơn vì các video trỏ đến các nội dung tải xuống độc hại được đăng tải bởi các tài khoản có hồ sơ sạch sẽ trong thời gian dài.

Theo The HackerNews

TIN CÙNG CHUYÊN MỤC

Tesla bị rò rỉ 100GB dữ liệu, đối mặt ng...

30/05/2023 12:00:00 60
Thủ phạm gây ra của vụ rò rỉ dữ liệu này của Tesla là một nhân viên cũ bất mãn với công ty.

Dịch vụ đồng bộ ảnh trực tuyến My Photo ...

29/05/2023 12:00:00 44
Vai trò của của My Photo Stream dần trở nên dư thừa sau khi iCloud Photos xuất hiện, có thể hỗ trợ t...

Nhân viên IT bảo mật giả hacker tống tiề...

26/05/2023 12:00:00 26
Nhân viên IT tạo một địa chỉ email gần giống của hacker trước đó, và gửi thư cho CEO yêu cầu trả tiề...

Kaspersky chia sẻ các cách giúp đội ngũ ...

25/05/2023 08:00:00 58
Cảm thấy kiệt sức vì những công việc lặp đi lặp lại, trở nên kém tập trung hơn trong công việc hoặc ...

Trình duyệt Google Chrome có đang nghe l...

25/05/2023 12:00:00 27
Vì vấn đề này có liên quan đến sự an toàn và quyền riêng tư của mọi người nên nó cần phải được xem x...

Lỗ hổng mới trong Plugin WordPress được ...

24/05/2023 08:00:00 101
Một lỗ hổng bảo mật đã được tiết lộ trong plugin WordPress phổ biến Essential Addons cho Elementor c...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ