Bleeping Computer 網(wǎng)站披露，一個(gè)新的惡意軟件包利用受害者YouTube頻道宣傳流行游戲的破解方法，這些上傳的視頻中包含了下載破解和作弊器的鏈接，但是受害者安裝的卻是能夠自我傳播的惡意軟件包。

據(jù)悉，惡意軟件捆綁包已經(jīng)在YouTube視頻中廣泛傳播，其針對(duì)的主要目標(biāo)是一些玩 FIFA、Forza Horizon、樂(lè)高星球大戰(zhàn)和蜘蛛俠等游戲的粉絲。

惡意軟件RedLine

卡巴斯基在一份報(bào)告中指出，研究人員發(fā)現(xiàn)一個(gè) RAR 檔案中包含了一系列惡意軟件，其中最引人注目的是 RedLine，這是目前最大規(guī)模傳播的信息竊取者之一。

RedLine 可以竊取存儲(chǔ)在受害者網(wǎng)絡(luò)瀏覽器中的信息，例如 cookie、賬戶(hù)密碼和信用卡，還可以訪(fǎng)問(wèn)即時(shí)通訊工具的對(duì)話(huà)，并破壞加密貨幣錢(qián)包。

除此之外，RAR 檔案中還包括一個(gè)礦工，利用受害者的顯卡為攻擊者挖掘加密貨幣。

由于捆綁文件中合法的 Nirsoft NirCmd 工具 nir.exe，當(dāng)啟動(dòng)時(shí)，所有的可執(zhí)行文件都會(huì)被隱藏，不會(huì)在界面上生成窗口或任何任務(wù)欄圖標(biāo)，所以受害者很難發(fā)現(xiàn)這些情況。

YouTube上自我傳播的RedLine

值得一提的是，卡巴斯基在存檔中發(fā)現(xiàn)了一種“不尋常且有趣”的自我傳播機(jī)制，該機(jī)制允許惡意軟件自我傳播給互聯(lián)網(wǎng)上的其他受害者。

具體來(lái)說(shuō)，RAR包含運(yùn)行三個(gè)惡意可執(zhí)行文件的批處理文件，即 “MakiseKurisu.exe”、“download.exe ”和 “upload.exe”，它們可以執(zhí)行捆綁的自我傳播。

RAR中包含的文件（卡巴斯基）

第一個(gè)是 MakiseKurisu，是廣泛使用 C# 密碼竊取程序的修改版本，僅用于從瀏覽器中提取 cookie 并將其存儲(chǔ)在本地。

第二個(gè)可執(zhí)行文件“download.exe”用于從 YouTube 下載視頻，這些視頻是宣傳惡意包視頻的副本。這些視頻是從 GitHub 存儲(chǔ)庫(kù)獲取的鏈接下載的，以避免指向已從 YouTube 報(bào)告和刪除的視頻 URL。

宣傳惡意軟件包的YouTube視頻（卡巴斯基）

第三個(gè)是“upload.exe ”，用于將惡意軟件推廣視頻上傳到 YouTube。使用盜取的 cookies 登錄到受害者 YouTube 賬戶(hù)，并通過(guò)他們的頻道傳播捆綁的惡意軟件。

上傳惡意視頻的代碼（卡巴斯基）

卡巴斯基在報(bào)告中解釋?zhuān)琜upload.exe]使用了 Puppeteer Node 庫(kù)，提供了一個(gè)高級(jí)別 API，用于使用 DevTools 協(xié)議管理 Chrome 和 Microsoft Edge。當(dāng)視頻成功上傳到 YouTube 時(shí)，upload.exe 會(huì)向 Discord 發(fā)送一條信息，并附上上傳視頻的鏈接。

生成Discord通知（卡巴斯基）

如果YouTube頻道所有者日常不是很活躍，他們不太可能意識(shí)到自己已經(jīng)在 YouTube 上推廣了惡意軟件，這種傳播方式使 YouTube 上的審查和取締更加困難。

參考文章：https://www.bleepingcomputer.com/news/security/new-malware-bundle-self-spreads-through-youtube-gaming-videos/