• I ricercatori di Kaspersky hanno individuato un insolito bundle dannoso rivolto ai gamer su YouTube. Il suo payload principale è RedLine stealer, uno dei Trojan più comuni utilizzati per rubare password e credenziali dai browser.

• RedLine è in grado di sottrarre nomi utente, password, cookie, dati di carte bancarie e autofill data da browser basati su Chromium e Gecko, dati da cryptowallet, programmi di messaggistica istantanea e client FTP/SSH/VPN, nonché file con estensioni particolari

Milano, 15 settembre 2022. I ricercatori di Kaspersky hanno individuato un insolito bundle dannoso rivolto ai gamer su YouTube: una raccolta di programmi malevoli distribuiti sotto forma di un singolo file di installazione, archivio ad estrazione automatica o altro file con funzionalità installer-type. Il suo payload principale è RedLine stealer, uno dei Trojan più comuni utilizzati per rubare password e credenziali dai browser.

RedLine è in grado di sottrarre nomi utente, password, cookie, dati di carte bancarie e autofill data da browser basati su Chromium e Gecko, dati da cryptowallet, programmi di messaggistica istantanea e client FTP/SSH/VPN, nonché file con estensioni particolari. Inoltre, RedLine può scaricare ed eseguire programmi di terze parti, lanciare comandi in cmd.exe e aprire link nel browser predefinito. Questa applicazione si diffonde in vari modi, tra cui e-mail di spam dannose e loader di terze parti.

Oltre al payload RedLine, il bundle scoperto è rilevante per la sua capacità di auto propagazione. Diversi file, presenti nel bundle descritto, ne sono responsabili: ricevono i video e li pubblicano sui canali YouTube degli utenti colpiti insieme a link che rimandano a un archivio protetto da password. I video promuovono cheat e crack, fornendo istruzioni sull’hacking di giochi e software popolari. Tra i giochi coinvolti ci sono APB Reloaded, CrossFire, DayZ, Dying Light 2, F1® 22, Farming Simulator, Farthest Frontier, FIFA 22, Final Fantasy XIV, Forza, Lego Star Wars, Osu!, Point Blank, Project Zomboid, Rust, Sniper Elite, Spider-Man, Stray, Thymesia, VRChat e Walken.

Una volta scaricato il bundle originale, l’archivio RAR si auto estrae e contiene una serie di file dannosi, utility pulite e uno script per eseguire automaticamente il contenuto estratto. Alcuni file hanno un linguaggio esplicito.

Un altro elemento che ha attirato l’attenzione dei ricercatori è logicamente un miner, dal momento che i gamer, a giudicare dal video, sono il target principale. Probabilmente sono state installate schede video che possono essere utilizzate per il mining.

“I gamer sono una delle categorie più prese di mira dai criminali informatici. Questa volta gli attaccanti hanno usato contenuti legati al gioco d’azzardo come esca per rubare le credenziali delle vittime e per fare mining dai loro computer. Il nostro consiglio è di scegliere con cura le fonti per soddisfare la vostra voglia di gioco e di non scaricare archivi sospetti da account inaffidabili”, ha commentato Oleg Kupreev, Senior Security Researcher di Kaspersky.

Informazioni su Kaspersky

Seguici su:

Contatto di redazione:

Noesis

kaspersky@noesis.netCOPYRIGHT LASICILIA.IT © RIPRODUZIONE RISERVATA