Любителям пользоваться в играх читами и крякам следует осмотрительно подходить к переходу по ссылкам в описаниях к видео на YouTube. Хакеры могли скомпрометировать некоторые каналы подобной тематики, распространяя через них вредоносные программы, крадущие логины и пароли.
Отчёт «Лаборатории Касперского» описывает кампанию по распространению вредоносного ПО на YouTube. Украв данные на вход в разные аккаунты пользователей, эти опасные программы могут воспользоваться ими для обмана ещё большего числа целей. В марте 2020 года «Лаборатория Касперского» открыла объединяющего в себе несколько вредоносных программ трояна. Хакеры распространяли его по электронной почте.
После активации программа RedLine способна украсть данные из браузеров Chrome, Firefox и Chromium, в том числе данные автозаполнения, логины, пароли, файлы куки и банковские учётные данные. Не забыты и криптокошельки, мессенджеры, клиенты FTP, SSH и VPN. Ещё программа умеет открывать ссылки в системном браузере по умолчанию для скачивания загрузки и запуска других программ.
Дальше вредоносное приложение может распространяться по ещё более сложной схеме. Она скачивает видео на компьютер жертвы, рекламируя читы и кряки для популярных видеоигр, а затем загружает их на канал пользователя на YouTube, если он есть. Описания загружаемых видео содержат ссылки на якобы читы и кряки, но на самом деле на троян. В видеороликах упоминаются игры Final Fantasy XIV, Forza, Lego Star Wars, Rust, Spider-Man, Stray, VRChat, DayZ, F1 22, Farming Simulator и другие.
YouTube закрыл скомпрометированные каналы. Пользователям всё равно стоит следить за подозрительными ссылками, если в будущем этот метод распространения станет более популярным.
Скачивается также программное обеспечение для майнинга криптовалют. У геймеров с большой долей вероятности есть мощные видеокарты, подходящие для майнинга, хотя после 15 сентября много на этом не заработаешь. С другой стороны, не хакерам платить за электричество, а если жертв у них будет много, кое какие заработки всё же возможны.
Троян RedLine содержит файлы с именами Makisekurisu.exe, cool.exe, AutoRun.exe, download.exe и upload.exe. AutoRun копирует себя в каталог %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup, так что программа запускается вместе с Windows, пишет Techspot.
