Ролики на Youtube для взломщиков-дилетантов используются настоящими хакерами для кражи паролей и криптовалюты

Неизвестные злоумышленники запустили кампанию по распространению двух троянцев, крадущих пароли. Вредоносы выдаются за утилиты, в том числе для сомнительных действий — читов для игр, средств взлома защиты ПО и пр.

Два троянца, одно назначение

В Youtube наблюдается широкомасштабная кампания по распространению ссылок на вредоносное ПО. Эксперт компании Cluster25 отметил, что на днях обнаружился странный всплеск активности со стороны злоумышленников, которые параллельно распространяют троянцы RedLine и Racoon Stealer. Они используются для кражи реквизитов доступа к различным ресурсам в Сети.

Злоумышленники использовали взломанные аккаунты в Google, через которые создали тысячи видеороликов и целых каналов. По большей части эти видео посвящены средствам взлома защиты программного обеспечения, лицензиям, генерации криптовалют, игровым читам, VPN-средствам и пр. В видеороликах описывается, как решить ту или иную задачу с помощью конкретной программы. В текстовом описании видеоролика прилагаются ссылки якобы на эти же самые программы, но в действительности это троянцы.

Как отметили исследователи, ссылки, сокращенные с помощью службы bit.ly, ведут на файловый хостинг с троянцем RedLine. Встречаются и несокращенные ссылки, ведущие на домен taplink.cc; по ним хостится Raccoon Stealer.

Проникнув на компьютер жертвы, троянцы сканируют все установленные браузеры и пытаются вывести на удаленный сервер информацию о криптовалютных кошельках, кредитных картах, паролях и другие важные данные.

Попытки остановить

В Google изданию Bleeping Computer заявили, что в курсе происходящего и прилагают все усилия, чтобы остановить кампанию.

«Нам известно об этой кампании и мы предпринимаем необходимые шаги, чтобы заблокировать источник угрозы и занести все его ссылки в черный список сервиса “Безопасный просмотр”. Как всегда, мы совершенствуем свои методы детектирования и вкладываем ресурсы в новые инструменты и функции, позволяющие автоматически идентифицировать и останавливать подобные угрозы. Необходимо также, чтобы пользователи сами были в курсе этого типа угроз и предпринимали необходимые шаги для своей защиты», — заявили в пресс-службе компании.

«Кампания, увы, демонстрирует, что слишком многие готовы безоглядно скачивать любые сомнительные программы откуда попало, — отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Хотя, судя по малосолидному содержанию как минимум некоторых видео, которые снабжались вредоносными ссылками, жертвы троянцев и сами могли заниматься не слишком законными делами. Но это не значит, что кампанию не следует остановить как можно скорее».

Ранее Google предупреждал о фишинговой кампании, нацеленной на аккаунты создателей контента в Youtube. Им тоже рассылались троянцы, крадущие пароли. Скомпрометированные аккаунты затем перепродавались в даркнете и использовались для проведения мошеннических операций с криптовалютами.