Yeni bir kötü amaçlı yazılım paketi, kötü amaçlı paketi daha da yaymak için popüler video oyunları için sahte hileler ve çatlaklar reklamı yapan kötü amaçlı video eğitimlerini yüklemek için kurbanların YouTube kanallarını kullanır.
Kendi kendine yayılan kötü amaçlı yazılım paketi, FIFA, Final Fantasy, Forza Horizon, Lego Star Wars ve Spider-Man oynayan hayranları hedefleyen YouTube videolarında tanıtıldı.
Yüklenen bu videolar, sahte crack ve hileleri indirmek için bağlantılar içerir, ancak gerçekte, yükleyiciye bulaşan aynı kendi kendine yayılan kötü amaçlı yazılım paketini yüklerler.
Kötü amaçlı yazılım kokteyli
Kaspersky tarafından hazırlanan yeni bir raporda, araştırmacılar, şu anda en yaygın olarak dağıtılan bilgi hırsızlarından biri olan RedLine başta olmak üzere bir kötü amaçlı yazılım koleksiyonu içeren bir RAR arşivi buldular.
RedLine, çerezler, hesap şifreleri ve kredi kartları gibi kurbanın web tarayıcısında saklanan bilgileri çalabilir, anlık mesajlaşma konuşmalarına erişebilir ve kripto para cüzdanlarını tehlikeye atabilir.
Ek olarak, RAR arşivine, saldırganlar için kripto para madenciliği yapmak için YouTube’da oyun videoları izledikleri için sahip olmaları çok muhtemel olan kurbanın grafik kartından yararlanan bir madenci dahil edilmiştir.
Meşru Nirsoft sayesinde NirCmd paketteki “nir.exe” adlı yardımcı program başlatıldığında, tüm yürütülebilir dosyalar gizlenecek ve arabirimde veya herhangi bir görev çubuğu simgesinde pencereler oluşturmayacak, böylece her şey kurbandan gizli kalacak.
Paketlenmiş enfeksiyonlar ve yürütülebilir dosyalar tek başlarına özellikle ilgi çekici değildir ve diğer kötü amaçlı yazılım dağıtım kampanyalarında tehdit aktörleri tarafından yaygın olarak kullanılır.
YouTube üzerinden kendi kendine yayılan RedLine
Ancak Kaspersky, arşivde saklanan ve kötü amaçlı yazılımın İnternet’teki diğer kurbanlara yayılmasına izin veren alışılmadık ve ilginç bir kendi kendine yayılma mekanizması keşfetti.
Özellikle, RAR, paketin kendi kendine yayılmasını gerçekleştiren “MakiseKurisu.exe”, “download.exe” ve “upload.exe” olmak üzere üç kötü amaçlı yürütülebilir dosyayı çalıştıran toplu iş dosyaları içerir.
Birincisi, MakiseKurisu, yalnızca tarayıcılardan çerezleri çıkarmak ve bunları yerel olarak depolamak için kullanılan, yaygın olarak bulunan bir C# parola hırsızının değiştirilmiş bir sürümüdür.
İkinci yürütülebilir dosya olan “download.exe”, kötü amaçlı paketi tanıtan videoların bir kopyası olan YouTube’dan bir video indirmek için kullanılır.
Videolar, bildirilen ve YouTube’dan kaldırılan video URL’lerini işaret etmekten kaçınmak için GitHub deposundan alınan bağlantılardan indirilir.
Son olarak, “upload.exe”, kötü amaçlı yazılımları teşvik eden videoları YouTube’a yüklemek, çalınan çerezleri kullanarak kurbanın YouTube hesabına giriş yapmak ve paketi kendi kanalları aracılığıyla yaymak için kullanılır.
“BT [upload.exe] DevTools protokolünü kullanarak Chrome ve Microsoft Edge’i yönetmek için üst düzey bir API sağlayan Kuklacı Düğüm kitaplığını kullanıyor.” Kaspersky’yi açıklıyor raporda.
“Video başarıyla YouTube’a yüklendiğinde, upload.exe Discord’a yüklenen videonun bağlantısını içeren bir mesaj gönderir.”
Tehdit aktörü yeni yükleme hakkında bilgilendirilse de, platformda çok aktif değilse kanal sahibinin YouTube’da kötü amaçlı yazılım tanıttığını fark etmesi olası değildir.
Bu agresif dağıtım yöntemi, kötü amaçlı indirmelere işaret eden videolar büyük olasılıkla uzun süredir temiz bir sicile sahip hesaplardan yüklendiğinden, YouTube’daki incelemeleri ve yayından kaldırmaları daha da zorlaştırıyor.