I ricercatori di Kaspersky hanno scoperto la distribuzione di un archivio RAR attraverso alcuni canali YouTube contenente vari malware, tra cui il famigerato RedLine, uno dei più potenti info-stealer in circolazione. Nella descrizione dei video ci sono le istruzioni e i link per scaricare cheat e crack di giochi popolari, ma in realtà gli utenti si ritrovano una serie di malware sul computer.
RedLine distribuito su YouTube
Il “bundle” distribuito dai canali YouTube (tutti chiusi da Google) è un archivio RAR auto-estraente. All’interno ci sono tre eseguibili, ovvero lo stealer RedLine, un miner e un terzo che esegue uno dei due file batch. RedLine può rubare diversi dati dal browser, tra cui password, cookie e numeri delle carte di credito, ma anche indirizzi dei wallet di criptovalute e file con specifiche estensioni.
Il primo file batch esegue l’utility NirCmd per nascondere le finestre, mentre il secondo esegue altri tre file: MakiseKurisu.exe
, download.exe
e upload.exe
. MakiseKurisu è un password stealer, ma questa versione può solo rubare i cookie dal browser, usati per accedere all’account YouTube delle vittime e quindi per caricare i video.
Il file download.exe
viene utilizzato per scaricare i video che verranno successivamente caricati su YouTube (i link sono recuperarti da un repository di GitHub). Infine, il file upload.exe
serve per caricare i video sul servizio di streaming. In questo modo, RedLine e gli altri malware vengono distribuiti sui canali YouTube di ignari utenti.