Bilgisayar Korsanları, YouTube Videolarını Kullanıyor

Güvenlik uzmanları, siber suçluların güçlü kötü amaçlı yazılımları dağıtmak için YouTube’a güvenmeye başladığını keşfetti.

Cyble Research Labs’den araştırmacılar, kısa süre önce, tümü nispeten az sayıda izleyiciye sahip ve tümü aynı kullanıcıya ait olan 80’den fazla videoya rastladı. Videolar, izleyicileri indirmeye ikna etmek amacıyla bir bitcoin madenciliği yazılımının nasıl çalıştığını gösteriyor gibi görünüyor.

İndirme bağlantısı videonun açıklamasında bulunur ve kurbanları meşruluğuna ikna etmek için parola korumalı bir arşivde gelir. Efekti daha da artırmak için indirilen arşiv, dosyayı “temiz” olarak gösteren bir VirusTotal bağlantısı ve bazı virüsten koruma programlarının yanlış bir pozitif uyarıyı tetikleyebileceğine dair bir uyarı ile birlikte gelir.

Yanlış pozitif yok

PennyWise adlı kötü amaçlı yazılımın kendisi, sistem bilgilerinden oturum açma kimlik bilgilerine, tanımlama bilgilerine, şifreleme anahtarlarına ve ana parolalara kadar her türlü veriyi çalar. Ayrıca Discord belirteçlerini ve Telegram oturumlarını çalar ve yol boyunca ekran görüntüleri alır.

Ayrıca, cihazı potansiyel kripto para cüzdanları, soğuk depo cüzdan verileri ve kripto ile ilgili tarayıcı eklentileri için tarar.

Yukarıdakilerin hepsini toplayınca tek bir dosyaya sıkıştırır ve saldırganların kontrolündeki bir sunucuya gönderir. Daha sonra kendi kendini imha eder.

PennyWise ayrıca çevresini analiz etme ve savunulan bir ortamda çalışmadığından emin olma yeteneğine de sahiptir. Bir sanal alanda olduğunu veya cihazda bir analiz aracının çalıştığını keşfederse, tüm eylemleri hemen durduracaktır.

Araştırmacılar, kötü amaçlı yazılımın, kurbanın uç noktasının Rusya, Ukrayna, Beyaz Rusya veya Kazakistan’da bulunduğunu keşfederse tüm operasyonları tamamen durduracağını keşfetti ve operatörlerin bağlantısı hakkında bazı ipuçları verdi.