Новости Популярные YouTube-каналы стали рекламировать пиратское ПО в своих видео

[NewsMaker]

Мошенники обходят все средства защиты, доставляя массу вредоносных программ любителям халявы.

---

---

Команда специалистов FortiGuard Labs Для просмотра ссылки Войди или Зарегистрируйся , нацеленную на пользователей YouTube, которые ищут пиратское ПО на видеохостинге. Исследователи нашли несколько YouTube-каналов с большим количеством подписчиков, которые размещают видеоролики, рекламирующие загрузку пиратского ПО.

Жертв заставляют развертывать несколько штаммов вредоносных программ, которые приводят к различным действиям, включая сбор учетных данных, криптоджекинг и кражу криптовалютных средств из кошельков.

Вредоносные видеоролики загружались киберпреступниками «оптом». Один канал разместил более 50 видеороликов в течение 8 часов, в каждом из которых рекламировалось различное пиратское программное обеспечение, которое в конечном итоге направляет пользователей на один и тот же URL -адрес.

---

---

Загруженные видео с рекламой пиратских копий ПО

Отметим, что URL-адреса и пароли, обычно состоящие из 4-х цифр, удобно размещать в разделе описания и комментариев к видео. Адреса перенаправляют пользователей на защищенный паролем RAR-архив, размещенный на файлообменнике.

---

---

Ссылки в описании видео

При распаковке архива и запуска EXE-файла из него, на устройство жертвы устанавливается одно из следующих вредоносных ПО:

• Vidar Stealer – инфостилер , который использует метод добавления более 1 ГБ неиспользуемых байтов в файл. Метод направлен на то, чтобы обойти антивирусы и песочницы, которые имеют ограничения на сканирование больших файлов из-за ограниченных ресурсов ЦП и ОЗУ.
• Laplas Clipper – клиппер, который постоянно отслеживает содержимое буфера обмена Windows, соответствующее определенным шаблонам, полученным с C2-сервера. Laplas Clipper заменяет исходный адрес кошелька получателя платежа адресом злоумышленника, перенаправляя средства на кошелек мошенника.
• Task32Main – это установщик майнера токена Monero , способный сохранять постоянство и обходить антивирусы.

Обнаруженная кампания выявляет опасность загрузки пиратских копий ПО, поскольку они являются воротами для злоумышленников, стремящихся собрать учетные данные, конфиденциальные данные и криптовалюту.

Кроме того, как только система скомпрометирована, злоумышленники используют ее для криптоджекинга. Пользователей призывают не поддаваться предложениям взломанного программного обеспечения на YouTube или на других сайтах.

В марте было замечено, что загрузчик вредоносного ПО «BATLOADER» Для просмотра ссылки Войди или Зарегистрируйся доставки вторичных полезных нагрузок, таких как Vidar Stealer и Ursnif. Вредоносная реклама используется для подделки широкого спектра законных приложений и сервисов, таких как Adobe, OpenAPI, Spotify, Tableau и Zoom.

Касательно Laplas Clipper – он распространяется через Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся . Это свидетельствует о том, что он Для просмотра ссылки Войди или Зарегистрируйся . В отличие от стандартных клиперов, которые просто меняют скопированный адрес кошелька получателя на адрес злоумышленника, Laplas Clipper использует адрес, очень похожий на тот, который скопировал пользователь.

Исследователи кибербезопасности CrowdStrike недавно Для просмотра ссылки Войди или Зарегистрируйся . Жертвой злоумышленников на этот раз стала платформа Kubernetes. А сама операция знаменует собой первый случай отказа злоумышленниками от криптовалюты Monero, которая в настоящий момент является самой распространенной монетой для майнинга в криптоджекинговых кампаниях. Вместо неё киберпреступники предпочли криптомонету Dero. Это может быть связано с тем, что добывать Dero немного выгоднее, а ещё монета предоставляет функции анонимизации как минимум не хуже Monero.