مقاطع فيديو ألعاب YouTube تنشر هذه البرامج الضارة

اكتشف باحثون أن الحملة الخبيثة المكتشفة حديثًا والتي توزع مخترع RedLine Stealer تأتي بآلية انتشار ذاتي (self-propagation mechanism) مثيرة للغاية.

كشف خبراء الأمن السيبراني من Kaspersky عن برامج ضارة جديدة تسجّل الدخول إلى حسابات YouTube للمستخدمين المعرضين للخطر وتحميل مقطع فيديو إلى قناتهم التي توزع RedLine Infostealer.

يجد الضحية، من الناحية المثالية لاعبًا على الكمبيوتر الشخصي، مقطع فيديو على YouTube على الشقوق أو الغش في إحدى ألعابهم المفضلة: إما FIFA أو Final Fantasy أو Forza Horizon أو Lego Star Wars أو Spider-Man. يوجد في وصف الفيديو روابط تدعي أنها تحتوي على تلك الاختراقات والغش والتي، في الواقع، تستضيف عدة برامج ضارة مجمعة معًا.

 
Cryptojackers, infostealers
في الحزمة RedLine Stealer، أحد أشهر المخترقين في الوقت الحاضر، قادر على سرقة كلمات المرور المخزنة في متصفحات الأشخاص وملفات تعريف الارتباط وتفاصيل بطاقات الائتمان ومحادثات الرسائل الفورية ومحافظ العملات المشفرة.

تحتوي الحزمة أيضًا على cryptojacker، وهو في الأساس عامل منجم للعملات المشفرة يستخدم القوة الحاسوبية لنقطة النهاية المخترقة لتعدين عملة معماة معينة للمهاجمين. عادة ما يتطلب تعدين العملات المشفرة قوة GPU كبيرة، وهو شيء عادة ما يمتلكه معظم اللاعبين.

ولكن ربما يكون الأمر الأكثر إثارة للاهتمام هو أن الحزمة تحتوي على ثلاثة ملفات ضارة قابلة للتنفيذ، تُستخدم للنشر الذاتي. وهي تسمى "MakiseKurisu.exe" و "download.exe" و "upload.exe". MakiseKurisu هو صانع معلومات يمسك ملفات تعريف الارتباط للمتصفح ويخزنها محليًا.

بعد ذلك، سيأخذ download.exe فيديو الكراك الوهمي من مستودع GitHub، ويسلمه إلى upload.exe، والذي من شأنه تحميله على حساب الضحية على YouTube، بعد استخدام ملفات تعريف الارتباط لتسجيل الدخول.

إذا لم تكن الضحية من مستخدمي YouTube المتحمسين، أو تم إيقاف تشغيل الإشعارات، فهناك احتمال كبير بأن الفيديو الضار قد يظل على قناتهم على YouTube لفترة طويلة قبل إزالته.

يوضح Kaspersky قائلاً: "عندما يتم تحميل الفيديو بنجاح على YouTube، يرسل upload.exe رسالة إلى Discord بها رابط إلى الفيديو الذي تم تحميله".