Une campagne malveillante récemment découverte distribuant le voleur d'informations RedLine Stealer est dotée d'un mécanisme d'auto-propagation très intéressant, ont découvert les chercheurs.
Les experts en cybersécurité de Kaspersky ont découvert un nouveau malware (s'ouvre dans un nouvel onglet) qui se connecte aux comptes YouTube des utilisateurs compromis et télécharge une vidéo sur leur chaîne, distribuée par RedLine Infostealer.
Une victime, idéalement un joueur sur PC, trouve une vidéo YouTube concernant des cracks ou des cheats pour l'un de ses jeux préférés : FIFA, Final Fantasy, Forza Horizon, Lego Star Wars ou Spider-Man. Dans la description de la vidéo, il y a des liens qui prétendent contenir ces cracks et astuces qui, en fait, hébergent plusieurs packages de logiciels malveillants.
Cryptojackers, voleurs d’informations
Le package comprend RedLine Stealer, l'un des voleurs d'informations les plus populaires d'aujourd'hui, capable de voler (ouvre dans un nouvel onglet) les mots de passe stockés dans les navigateurs des utilisateurs, les cookies, les cartes de crédit, les conversations de messagerie instantanée et les portefeuilles de crypto-monnaies.
Le package contient également un cryptojacker, essentiellement un mineur de crypto-monnaie qui utilise la puissance de calcul du point final compromis pour extraire certaines crypto-monnaies pour les attaquants. Le minage de crypto-monnaie nécessite généralement une puissance GPU importante, dont disposent généralement la plupart des joueurs.
Mais le plus intéressant est peut-être que le package contient trois exécutables malveillants, utilisés pour l’auto-propagation. Ceux-ci sont appelés "MakiseKurisu.exe", "download.exe" et "upload.exe". MakiseKurisu est un voleur d'informations qui capture les cookies du navigateur et les stocke localement.
Download.exe récupèrerait ensuite la fausse vidéo de crack dans un référentiel GitHub et l'enverrait à upload.exe, qui la téléchargerait sur le compte YouTube de la victime, après avoir utilisé des cookies pour se connecter.
Si la victime n'est pas un fervent utilisateur de YouTube ou si ses notifications sont désactivées, la vidéo malveillante restera probablement longtemps sur sa chaîne YouTube avant d'être supprimée.
"Lorsque la vidéo est téléchargée avec succès sur YouTube, upload.exe envoie un message à Discord avec un lien vers la vidéo téléchargée", explique Kaspersky.
- Ceci est notre tour d'horizon des meilleurs pare-feu (s'ouvre dans un nouvel onglet) disponibles actuellement
Via : BleepingComputer (Ouvre dans un nouvel onglet)