Популярные YouTube-каналы стали рекламировать вредоносное пиратское ПО в своих видео

Команда специалистов FortiGuard Labs обнаружила вредоносную кампанию, нацеленную на пользователей YouTube, которые ищут пиратское ПО на видеохостинге. Исследователи нашли несколько YouTube-каналов с большим количеством подписчиков, которые размещают видеоролики, рекламирующие загрузку пиратского ПО.

Жертв обманом заставляют развертывать несколько штаммов вредоносных программ, которые приводят к различным действиям, включая сбор учетных данных, криптоджекинг и кражу криптовалютных средств из кошельков.

Вредоносные видеоролики загружались киберпреступниками «оптом». Один канал разместил более 50 видеороликов в течение 8 часов, в каждом из которых рекламировалось различное пиратское программное обеспечение, которое в конечном итоге направляет пользователей на один и тот же URL-адрес.

Securitylab отмечает, что URL-адреса и пароли, обычно состоящие из 4-х цифр, удобно размещать в разделе описания и комментариев к видео. Адреса перенаправляют пользователей на защищенный паролем RAR-архив, размещенный на файлообменнике.

При распаковке архива и запуска EXE-файла из него, на устройство жертвы устанавливается одно из следующих вредоносных ПО:

• Vidar Stealer – инфостилер, который использует метод добавления более 1 ГБ неиспользуемых байтов в файл. Метод направлен на то, чтобы обойти антивирусы и песочницы, которые имеют ограничения на сканирование больших файлов из-за ограниченных ресурсов ЦП и ОЗУ.
• Laplas Clipper – клиппер, который постоянно отслеживает содержимое буфера обмена Windows, соответствующее определенным шаблонам, полученным с C2-сервера. Laplas Clipper заменяет исходный адрес кошелька получателя платежа адресом злоумышленника, перенаправляя средства на кошелек мошенника.
• Task32Main – это установщик майнера токена Monero, способный сохранять постоянство и обходить антивирусы.

Обнаруженная кампания выявляет опасность загрузки пиратских копий ПО, поскольку они являются воротами для злоумышленников, стремящихся собрать учетные данные, конфиденциальные данные и криптовалюту.

Кроме того, как только система скомпрометирована, злоумышленники используют ее для криптоджекинга. Пользователей призывают не поддаваться предложениям взломанного программного обеспечения на YouTube или на других сайтах.

Касательно Laplas Clipper – он распространяется через Smoke Loader и Raccoon Stealer . Это свидетельствует о том, что он привлек внимание сообщества киберпреступников. В отличие от стандартных клиперов, которые просто меняют скопированный адрес кошелька получателя на адрес злоумышленника, Laplas Clipper использует адрес, очень похожий на тот, который скопировал пользователь.