Os investigadores Kaspersky detetaram um pacote malicioso invulgar (uma colecção de programas maliciosos distribuídos sob a forma de um único ficheiro de instalação, arquivo auto-extraível ou outro ficheiro com funcionalidade do tipo instalador), visando os jogadores no YouTube. A sua principal carga útil é o extenso RedLine stealer, um dos Trojans mais comuns utilizados para roubar palavras-passe e credenciais de navegadores. 

Os cibercriminosos caçam ativamente contas de jogo e recursos informáticos de jogo. Como os peritos da Kaspersky observaram na recente visão geral das ameaças cibernéticas relacionadas com o jogo, o malware do tipo stealer é frequentemente distribuído sob o disfarce de hackers de jogo, fraudes e cracks. Desta vez, os investigadores descobriram outro tipo de atividade maliciosa ligada ao jogo: os atacantes colocaram pacotes envenenados nos canais das vítimas no YouTube, sob o disfarce de conteúdo relacionado com o jogo, juntamente com um link para um arquivo RAR auto-extraível na descrição do vídeo. O arquivo contém vários ficheiros maliciosos - um notório RedLine stealer, entre eles.

O ladrão pode pilhar nomes de utilizador, palavras-passe, cookies, detalhes de cartões bancários e dados de preenchimento automático a partir de navegadores baseados em Chromium- e Gecko-, dados de criptowallets, mensagens instantâneas e clientes FTP/SSH/VPN, bem como ficheiros com extensões particulares a partir de dispositivos. Além disso, o RedLine pode descarregar e executar programas de terceiros, executar comandos em cmd.exe e abrir ligações no navegador padrão. O stealer espalha-se de várias maneiras, incluindo através de e-mails de spam maliciosos e carregadores de terceiros.

Para além da própria carga útil RedLine, o pacote descoberto é de notar pela sua capacidade de auto-propagação. Vários ficheiros, no feixe na descrição, são responsáveis por isso.  Recebem vídeos e publicam-nos nos canais do YouTube dos utilizadores infectados, juntamente com os links para um arquivo protegido por palavra-passe. Os vídeos anunciam batoteiros e cracks e fornecem instruções sobre como piratear jogos e software populares. Entre os jogos mencionados estão APB Reloaded, CrossFire, DayZ, Dying Light 2, F1® 22, Farming Simulator, Farthest Frontier, FIFA 22, Final Fantasy XIV, Forza, Lego Star Wars, Osu!, Point Blank, Project Zomboid, Rust, Sniper Elite, Spider-Man, Stray, Thymesia, VRChat e Walken.

Uma vez que as próprias vítimas descarreguem o pacote original, o arquivo RAR é auto-extraível. Contém uma série de ficheiros maliciosos, utilitários limpos e um guião para executar automaticamente o conteúdo descompactado. Alguns dos nomes dos ficheiros incluem linguagem explícita.

Outro elemento que chamou a atenção dos investigadores, é um mineiro. Faz sentido, uma vez que o principal público-alvo, a julgar pelo vídeo, são os gamers. - É provável que tenham instalados placas de vídeo que possam ser utilizadas para a mineração.

"Os gamers são um dos grupos mais populares visados pelos cibercriminosos. Desta vez os atacantes usaram o conteúdo relacionado com o fgaming como isco para roubar as credenciais das vítimas, bem como a mineração dos seus computadores. O nosso conselho seria escolher cuidadosamente as fontes para saciar a sua sede de jogo e não descarregar quaisquer arquivos suspeitos de contas não fiáveis", comenta Oleg Kupreev, senior security researcher na Kaspersky.

Leia sobre os ataques relacionados com o jogo da Redline na Securelist.

Classifique este item
(0 votos)
Ler 1172 vezes
Tagged em
Top