Независимый ИБ-исследователь обнаружил на YouTube мошенническую кампанию, направленную на распространение шпионского трояна Predator the Thief (также известен как Predator). Злоумышленники маскируют зловред под программы для добычи криптовалют, торговли и управления финансами, и даже обещают пользователям доступ к чужим BTC-кошелькам.
Приманка для любителей криптовалют:
Первое видео появилось на канале в декабре 2018 года. За прошедшее время аккаунт набрал 25 тыс. просмотров, из которых 11 тыс. приходятся на ролик про «бесплатный генератор биткойнов». На видео пользователь вставляет некие символы в исходный код страницы на сайте по управлению криптовалютами. После этого количество денег в кошельке на экране начинает расти.
На втором месте по количеству просмотров руководство по работе с программой, якобы позволяющей вытаскивать криптовалюту из любых BTC- и ETH-кошельков. Мошенники уверяют, что пользователям достаточно ввести желаемую сумму и адрес отправителя. После оплаты транзакционной комиссии деньги придут на указанный кошелек.
Помимо явно мошеннических программ канал продвигает и несколько якобы легитимных утилит — в основном, боты для трейдеров. Под всеми опубликованными видео указаны одинаковые ссылки на несколько файлообменных сервисов. Они ведут на ZIP-архив с тремя папками и файлом setup.exe. Это и есть полезная нагрузка — троян-инфостилер Predator.
Возможности инфостилера Predator:
Впервые этот зловред попал на радары ИБ-специалистов в октябре 2018 года — тогда о Predator рассказал независимый исследователь под ником fumik0. В марте 2019-го троян подробно изучили эксперты «Лаборатории Касперского».
Predator — это относительно примитивный шпион. Его создатели продают программу на подпольных площадках за 2000 рублей — меньше, чем конкурирующих Vidar и HawkEye.
За эти деньги клиенты получают возможность похищать пароли, файлы куки, платежные и учетные данные из более чем 25 браузеров, а также записывать видео с веб-камеры. Злоумышленники также обещают функцию кейлоггинга, но на деле Predator лишь угоняет буфер обмена.
По словам экспертов Kaspersky, этот зловред может угрожать частным пользователям и небольшим компаниям — защиту корпоративного уровня он обойти не способен. Главная особенность трояна состоит в регулярных обновлениях, благодаря чему антивирусные решения могут не распознать угрозу в очередной версии Predator.
Чтобы дополнительно затруднить обнаружение, создатели зловреда обфусцировали его код и добавили некоторые защитные функции. Так, перед началом работы шпион проверяет наименование видеокарты и список загруженных DLL-библиотек. Таким образом Predator определяет, что попал в песочницу.
Специалисты напоминают пользователям об опасности неизвестных программ, особенно если те продвигают как средство быстрого заработка и создания денег из воздуха.
Жертвам Predator необходимо срочно сменить пароли в социальных сетях и платежных сервисах, а также игровых платформах вроде Steam и Battle.net — такие ресурсы все чаще становятся желанной целью для киберпреступников.
Злоумышленники давно используют YouTube для продвижения вредоносного ПО. В 2018 году на видеохостинге обнаружилось множество роликов, в которых геймеры якобы устанавливали на Android-смартфоны онлайн-шутер Fortnite. Позже подобным атакам подверглись любители Apex Legends — преступники обещали им возможность запустить игру на мобильных устройствах, хотя она работает только на Windows, PlayStation 4 и Xbox One. Пользователи, которые следовали инструкциям мошенников, получали на свои устройства нежелательные приложения.
Источник: https://threatpost.ru/predator-the-thief-advertised-as-crypto-software-on-youtube/34822/