Vírusterjesztés YouTube videókkal

Újabb vírusterjesztést elősegítő videók kezdtek terjedni a YouTube-on. Ezúttal bitcoinokkal hitegetnek a csalók, miközben adatokat lopnak a megtévesztett felhasználóktól.
 

A YouTube-on sem számít példa nélküli eseménynek, ha olyan videó kerül ki, amely kiberbűnözők céljait szolgálja. A Frost néven tevékenykedő biztonsági kutató az ilyen jellegű videók feltérképezésére szakosodott, és különösen figyel azon tartalmakra, amelyek kriptopénzekkel kapcsolatos csalásokhoz kötődnek. Ezúttal egy olyan bitcoinos akcióra lett figyelmes, amely mind a felhasználók, mind a víruskeresők megtévesztésére alkalmas.
 
A csalók a videóikban ezúttal azt állítják, hogy ha valaki letölti az általuk bemutatott programot, akkor bitcoinhoz kapcsolódó privát kulcsokat tud generálni, amivel végső soron komoly anyagi haszonra lehet szert tenni. A videójuk alá három linket is beírtak, amelyek segítségével (Yandex, Google Drive vagy Mega oldalakról) lehet letölteni az állítólagosan busás haszonnal kecsegtető szoftvert.  
Ezzel szemben a valóság
 
A biztonsági kutató a hivatkozásokról letölthető programot alaposan is szemügyre vette, és hamar megállapította, hogy az semmi más célt nem szolgál, mint a számítógépek megfertőzését. Amennyiben a felhasználó letölti a csalók által közzétett telepítőprogramot, akkor például egy Crypto World.zip nevű fájl kerül a számítógépére. (Nyilván a fájlnév változhat.) Ha kitömöríti az állományt, akkor egy setup.exe fájl kerül elő, amelynek elindításakor rögtön kezdetét veszi a fertőzés. Ekkor jut szerephez a Predator the Thief nevű trójai.
 
A kártékony program kapcsolódik egy távoli kiszolgálóhoz, majd parancsokat fogad, amelyeket rögtön végre is hajt. További nemkívánatos kódokat juttat fel a számítógépre, amik segítségével elsősorban adatlopásra lesz képes.
 
A szerzemény (melynek jelenlegi variánsa license.exe fájlként működik) nem veti meg a jelszavakat és a felhasználó egyéb bizalmas adatait sem. Naplózza a vágólap tartalmát, illetve - amennyiben rendelkezésre áll, akkor - webkamera segítségével is kémkedik. Majd további adatokat szivárogtat ki különféle szolgáltatásokból, alkalmazásokból (Battle.net, Osu, Steam, WinSCP, Authy, NordVPN, Skype stb.).
 
A Predator the Thief trójai, valamint a fenti terjesztési módszer meglehetősen kifinomult, és nem kizárólag a felhasználók átejtésére alkalmas, hanem a víruskeresőket is képes megkerülni. A felfedezésekor - a VirusTotal adatai szerint - 71 víruskeresőből mindössze egy volt képes detektálni. Nyilván azóta javult a helyzet - már csak ezért is érdemes naprakészen tartani a vírusvédelmi alkalmazásokat.