天创培训:您身边的信息安全培训专家!
行业动态
黑客YouTube打广告卖外挂 实则暗地传播木马病毒

黑客YouTube打广告卖外挂 实则暗地传播木马病毒

安全公司Doctor Web正在向所有计算机用户发布警告,称一种新型的木马病毒正在通过YouTube进行传播。该木马旨在从受感染计算机中窃取文件和其他敏感信息,而攻击者完全可以利用这些信息来劫持受害者的社交网站或者其他在线服务账户。

这个木马病毒被Doctor Web检测为Trojan.PWS.Stealer.23012,是采用Python编程语言开发的,它感染的目标是运行Windows操作系统的计算机。

Doctor Web表示,木马的分发开始于2018年3月23日,并且一直持续至今。用于下载恶意应用的链接被攻击者发布在YouTube视频的评论部分,其中大多数视频从内容上看都是在宣传一种游戏“外挂”。

实际上,这是一种流行且普遍被采用的恶意软件分发方式。YouTube视频的内容主要被用于展示在这些游戏中使用“外挂”的具体效果,对于大多数游戏玩家来说,这无疑充满了诱惑力。

根据Doctor Web的说法,恶意链接指向了Yandex.Disk服务器(来自俄罗斯的网盘),受害者可以从其中下载到一个. RAR压缩文件。毫无疑问,前面提到的木马病毒Trojan.PWS.Stealer.23012就包含在其中。为了说服受害者点击链接,攻击者还会创建许多虚假YouTube账户,以发表“好评”。

Doctor Web表示,在受感染的计算机上启动后,Trojan.PWS.Stealer.23012会收集以下信息:

  • 由Vivaldi、Chrome、YandexBrowser、Opera、Kometa、Orbitum、Dragon、Amigo和Torch等浏览器存储的Cookie;

  • 保存在以上浏览器中的用户名和密码;

  • 屏幕截图。

另外,它还会从Windows桌面转储包含以下扩展名的文件,这包括.txt、.pdf、.jpg、.png、.xls、.doc、.docx、.sqlite、.db、.sqlite3、.bak、.sql和.xml。

在完成信息收集后,Trojan.PWS.Stealer.23012会将所有收集到的信息都保存到C:/PG148892HQ8文件夹中,然后进行打包并压缩为一个名为“spam.zip”的文件,这个文件最终会被发送到由攻击者控制的服务器。