Une campagne malveillante récemment découverte qui distribue le voleur d’informations RedLine Stealer est livrée avec un mécanisme d’auto-propagation très intéressant, ont découvert des chercheurs.
Les experts en cybersécurité de Kaspersky ont découvert un nouveau malware (s’ouvre dans un nouvel onglet) qui se connecte aux comptes YouTube des utilisateurs compromis et télécharge une vidéo sur leur chaîne, qui distribue RedLine Infostealer.
Une victime, idéalement un joueur sur PC, trouve une vidéo YouTube sur des cracks, ou cheats, pour l’un de ses jeux préférés : FIFA, Final Fantasy, Forza Horizon, Lego Star Wars ou Spider-Man. Dans la description de la vidéo se trouvent des liens qui prétendent contenir ces cracks et ces astuces qui, en fait, hébergent plusieurs logiciels malveillants regroupés.
Cryptojackers, voleurs d’informations
Dans le bundle se trouve RedLine Stealer, l’un des voleurs d’informations les plus populaires de nos jours, capable de voler (s’ouvre dans un nouvel onglet) les mots de passe stockés dans les navigateurs des utilisateurs, les cookies, les détails de carte de crédit, les conversations de messagerie instantanée et les portefeuilles de crypto-monnaie.
Le bundle contient également un cryptojacker, essentiellement un mineur de crypto-monnaie qui utilise la puissance de calcul du point de terminaison compromis pour extraire certaines crypto-monnaies pour les attaquants. L’extraction de crypto-monnaie nécessite généralement une puissance GPU importante, ce que la plupart des joueurs ont généralement.
Mais peut-être le plus intéressant, le bundle contient trois exécutables malveillants, utilisés pour l’auto-propagation. Ceux-ci sont appelés « MakiseKurisu.exe », « download.exe » et « upload.exe ». MakiseKurisu est un voleur d’informations qui récupère les cookies du navigateur et les stocke localement.
Ensuite, download.exe récupérerait la fausse vidéo de crack à partir d’un référentiel GitHub et la remettrait à upload.exe, qui la téléchargerait sur le compte YouTube de la victime, après avoir utilisé des cookies pour se connecter.
Si la victime n’est pas un utilisateur passionné de YouTube ou si les notifications sont désactivées, il y a de fortes chances que la vidéo malveillante reste longtemps sur sa chaîne YouTube avant d’être supprimée.
« Lorsque la vidéo est téléchargée avec succès sur YouTube, upload.exe envoie un message à Discord avec un lien vers la vidéo téléchargée », explique Kaspersky.
- Voici notre aperçu des meilleurs pare-feu (s’ouvre dans un nouvel onglet) disponible dès maintenant
Via : BleepingComputer (s’ouvre dans un nouvel onglet)