Hackeři zneužívají YouTube k šíření malwaru místo SW pro těžbu Bitcoinu
11.7.2022, Milan Šurkala, aktualita
K šíření malwaru se dá zneužít hodně prostředků. Jedním z nich je i platforma YouTube, kde hackeři propagují údajný software pro těžbu Bitcoinu. Ten však těží něco jiného. Hesla, data a soubory obětí, kteří program spustí.
Společnost Cyble Research Labs varuje před dalším způsobem, kterým se může šířit malware. Způsobů je hodně a není to poprvé, co byl k tomuto zneužit YouTube. Jeden z posledních případů ukazuje šíření malwaru PennyWise a naštěstí daný "youtuber" nasbíral jen poměrně málo zhlédnutí a snad i jen málo obětí. Trik byl docela snadný. Na kanále se postupně objevilo přes 80 videí, které měly různými způsoby propagovat těžbu kryptoměn a dávat návod, jak na to. Jejich součástí byla i ukázka, jaký software na to použít, a tady byl zakopaný pes.
ilustrační obrázek, Alan Levine, [CC BY 2.0], přes Pxhere.com
Prezentovaný software a software, který byl v popisu videa nabízen ke stažení, nebyly tímtéž. Útočník zde nabízel zaheslovaný archiv (k němuž ale přidal i heslo), což mělo vzbudit větší důvěru (zaheslování je podle psychologických průzkumů známá metoda, jak zvýšit dojem důvěryhodnosti). Útočník nabádal k vypnutí antiviru, který může zahlásit, že jde o potenciální hrozbu, nicméně sledující ujišťoval, že jde o naprosto bezpečný software. Důvěru se snažil získat zpět tím, že přidal i odkaz na výsledek testu ve VirusTotalu, ten ale (pochopitelně) neodpovídal souboru, který měl být stažen. Kdo si nedal pozor, mohl se ošklivě spálit.
Malware pak spustil detekci internetových prohlížečů, zjistil uživatelovo jméno, jméno počítače, jazyk a časovou zónu, kterou změnil na ruský standardní čas RST. Pokud detektoval, že se počítač nachází v Rusku, Ukrajině, Bělorusku nebo Kazachstánu, okamžitě se ukončil. Dále se snažil zjistit, v jakém prostředí běží a při detekci, že běží ve virtuálním stroji, sandboxu, se také ukončil. Pokusil se také zjistit, jaký antivir je použit, případně jaké analytické a monitorovací nástroje.
Pokud vše proběhlo v pořádku, na discích vyhledal malé soubory rtf, doc, docx, txt a json, stáhl seznam nainstalovaných aplikací, ze všech jemu známých prohlížečů nakradl data jako přihlašovací údaje, cookies, šifrovací klíče, stáhl tokeny k Discordu a Telegramu, pořídil také screenshot obrazovky. Dále se snažil zjistit údaje ke kryptoměnovým peněženkám pro Litecoin, Dash i Bitcoin a případná data spojená s cold wallet pro Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic Wallet, Guarda a Coinomi. Toto vše zkomprimoval a poslal útočníkovi na server. Pak se malware sám smazal.
Zdroj: techrepublic.com