Onderzoekers van Kaspersky hebben een ongewone kwaadaardige bundel gespot die gericht is op gamers op YouTube. Een bundel is een verzameling kwaadaardige programma's die worden verspreid in de vorm van een enkel installatiebestand, zelfuitpakkend archief of een ander bestand met installatie-achtige functionaliteit. De belangrijkste payload is de wijdverspreide RedLine stealer, een van de meest gebruikte Trojaanse paarden om wachtwoorden en gegevens uit browsers te stelen.
Cybercriminelen maken actief jacht op game-accounts en bronnen voor gaming computers. Zoals Kaspersky-experts opmerkten in het recente overzicht van gaming-gerelateerde cyberbedreigingen, wordt stealer-type malware vaak verspreid onder het mom van game-hacks, cheats en cracks. Deze keer ontdekten de onderzoekers een ander type kwaadaardige activiteit die verband houdt met gaming: de aanvallers plaatsten kwaadaardige bundels op de YouTube-kanalen van de slachtoffers onder het mom van gaming-gerelateerde inhoud, samen met een link naar een zelfuitpakkend RAR-archief in de videobeschrijving. Het archief bevat verschillende schadelijke bestanden, waaronder een beruchte RedLine stealer.
De stealer kan gebruikersnamen, wachtwoorden, cookies, bankkaart- en autofill (automatisch aanvullen) gegevens van Chromium- en Gecko-gebaseerde browsers plunderen. Maar ook gegevens van cryptowallets, instant messengers, FTP/SSH/VPN-clients en bestanden met bepaalde extensies van apparaten. Daarnaast kan RedLine programma's van derden downloaden en uitvoeren, commando's in cmd.exe uitvoeren en links in de standaardbrowser openen. De stealer verspreidt zich op verschillende manieren, onder meer via kwaadaardige spam e-mails.
Naast de RedLine payload zelf, is de ontdekte bundel opmerkelijk vanwege zijn vermogen tot zelfverspreiding. Verschillende bestanden zijn hiervoor verantwoordelijk. Ze ontvangen video's en plaatsen deze op de YouTube-kanalen van de geïnfecteerde gebruikers, samen met de links naar een wachtwoord beveiligd archief. De video's adverteren cheats en cracks en geven instructies voor het hacken van populaire games en software. Onder de genoemde games zijn APB Reloaded, CrossFire, DayZ, Dying Light 2, F1® 22, Farming Simulator, Farthest Frontier, FIFA 22, Final Fantasy XIV, Forza, Lego Star Wars, Osu!, Point Blank, Project Zomboid, Rust, Sniper Elite, Spider-Man, Stray, Thymesia, VRChat en Walken.
Voorbeelden van video's die de bundel verspreiden
Zodra de slachtoffers zelf de originele bundel downloaden, pakt het RAR-archief zichzelf uit. Het bevat een aantal schadelijke bestanden, schone hulpprogramma's en een script om de uitgepakte inhoud automatisch uit te voeren. Sommige namen van de bestanden bevatten expliciete taal.
Inhoud van het zelfuitpakkende archief
Een ander element dat de onderzoekers opviel, is een miner. Dat is logisch, aangezien de belangrijkste doelgroep, afgaande op de video, gamers zijn. Zij hebben waarschijnlijk videokaarten geïnstalleerd die gebruikt kunnen worden voor mining.
"Gamers zijn een van de populairste doelgroepen van cybercriminelen. Deze keer gebruikten aanvallers gaming-gerelateerde inhoud als lokaas voor het stelen van inloggegevens van slachtoffers en voor het minen vanaf hun computer. Ons advies zou zijn om zorgvuldig de bronnen te kiezen om je gaming-dorst te lessen en geen verdachte archieven te downloaden van onbetrouwbare accounts," zegt Oleg Kupreev, senior security researcher bij Kaspersky.
Lees over Redline gaming-gerelateerde aanvallen op Securelist