Популярные YouTube-каналы стали рекламировать пиратское ПО в своих видео

Популярные YouTube-каналы стали рекламировать пиратское ПО в своих видео

Мошенники обходят все средства защиты, доставляя массу вредоносных программ любителям халявы.

image

Команда специалистов FortiGuard Labs обнаружила вредоносную кампанию , нацеленную на пользователей YouTube, которые ищут пиратское ПО на видеохостинге. Исследователи нашли несколько YouTube-каналов с большим количеством подписчиков, которые размещают видеоролики, рекламирующие загрузку пиратского ПО.

Жертв заставляют развертывать несколько штаммов вредоносных программ, которые приводят к различным действиям, включая сбор учетных данных, криптоджекинг и кражу криптовалютных средств из кошельков.

Вредоносные видеоролики загружались киберпреступниками «оптом». Один канал разместил более 50 видеороликов в течение 8 часов, в каждом из которых рекламировалось различное пиратское программное обеспечение, которое в конечном итоге направляет пользователей на один и тот же URL-адрес.

Загруженные видео с рекламой пиратских копий ПО

Отметим, что URL-адреса и пароли, обычно состоящие из 4-х цифр, удобно размещать в разделе описания и комментариев к видео. Адреса перенаправляют пользователей на защищенный паролем RAR-архив, размещенный на файлообменнике.

Ссылки в описании видео

При распаковке архива и запуска EXE-файла из него, на устройство жертвы устанавливается одно из следующих вредоносных ПО:
  • Vidar Stealer инфостилер, который использует метод добавления более 1 ГБ неиспользуемых байтов в файл. Метод направлен на то, чтобы обойти антивирусы и песочницы, которые имеют ограничения на сканирование больших файлов из-за ограниченных ресурсов ЦП и ОЗУ.
  • Laplas Clipper клиппер, который постоянно отслеживает содержимое буфера обмена Windows, соответствующее определенным шаблонам, полученным с C2-сервера. Laplas Clipper заменяет исходный адрес кошелька получателя платежа адресом злоумышленника, перенаправляя средства на кошелек мошенника.
  • Task32Main это установщик майнера токена Monero, способный сохранять постоянство и обходить антивирусы.

Обнаруженная кампания выявляет опасность загрузки пиратских копий ПО, поскольку они являются воротами для злоумышленников, стремящихся собрать учетные данные, конфиденциальные данные и криптовалюту.

Кроме того, как только система скомпрометирована, злоумышленники используют ее для криптоджекинга. Пользователей призывают не поддаваться предложениям взломанного программного обеспечения на YouTube или на других сайтах.

В марте было замечено, что загрузчик вредоносного ПО «BATLOADER» злоупотребляет сервисом контекстной рекламы Google Ads для доставки вторичных полезных нагрузок, таких как Vidar Stealer и Ursnif. Вредоносная реклама используется для подделки широкого спектра законных приложений и сервисов, таких как Adobe, OpenAPI, Spotify, Tableau и Zoom.

Касательно Laplas Clipper – он распространяется через Smoke Loader и Raccoon Stealer . Это свидетельствует о том, что он привлек внимание сообщества киберпреступников . В отличие от стандартных клиперов, которые просто меняют скопированный адрес кошелька получателя на адрес злоумышленника, Laplas Clipper использует адрес, очень похожий на тот, который скопировал пользователь.

Исследователи кибербезопасности CrowdStrike недавно раскрыли очередную незаконную кампанию по добыче криптовалюты . Жертвой злоумышленников на этот раз стала платформа Kubernetes. А сама операция знаменует собой первый случай отказа злоумышленниками от криптовалюты Monero, которая в настоящий момент является самой распространенной монетой для майнинга в криптоджекинговых кампаниях. Вместо неё киберпреступники предпочли криптомонету Dero. Это может быть связано с тем, что добывать Dero немного выгоднее, а ещё монета предоставляет функции анонимизации как минимум не хуже Monero.

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться