Zum Hauptinhalt springen

Kaspersky-Experten haben auf YouTube ein ungewöhnliches Schadprogramm-Bundle, also eine Sammlung von Schadprogrammen, die in Form einer einzigen Installationsdatei, eines selbstextrahierenden Archivs oder einer anderen Datei mit Installationsfunktionalität verbreitet werden, identifiziert [1]. Dieses zielt auf Gamer ab und sein Haupt-Payload ist der weit verbreitete Stealer ‚RedLine‘, einer der häufigsten Trojaner, der zum Diebstahl von Passwörtern und Anmeldeinformationen aus Browsern verwendet wird.

Cyberkriminelle machen derzeit aktiv Jagd auf Gaming-Konten und Computerressourcen für Spiele. Kaspersky-Analysen zufolge [2] wird Malware vom Typ Stealer häufig unter dem Deckmantel von Spiele-Hacks, Cheats und Cracks verbreitet. Jetzt haben die Sicherheitsforscher eine bislang neue Art schädlicher Aktivitäten im Zusammenhang mit Spielen entdeckt. Die Angreifer platzierten schädliche Pakete auf den YouTube-Kanälen ihrer Opfer unter dem Deckmantel spielbezogener Inhalte zusammen mit einem Link zu einem selbstextrahierenden RAR-Archiv in der Videobeschreibung. Das Archiv enthält mehrere schädliche Dateien – unter anderem einen berüchtigten RedLine-Stealer.

Cyberkrimelle können auf diese Weise Benutzernamen, Passwörter, Cookies, Bankkartendaten und Autofill-Daten von Chromium- und Gecko-basierten Browsern, Daten von Krypto-Wallets, Instant Messengern und FTP/SSH/VPN-Clients sowie Dateien gewisser Geräteerweiterungen erbeuten. Darüber hinaus kann RedLine Programme von Drittanbietern herunterladen und ausführen, Befehle in cmd.exe ausführen sowie Links im Standardbrowser öffnen. Der Stealer verbreitet sich auf verschiedene Weise, unter anderem über schädliche Spam-E-Mails und Drittanbieter-Loader.

Die Selbstverbreitung der Malware ist einzigartig

Neben der RedLine-Payload selbst ist das entdeckte Paket auch wegen seiner Fähigkeit zur Selbstverbreitung interessant. Dafür sind mehrere Dateien in dem Paket verantwortlich Sie empfangen Videos und posten diese auf den YouTube-Kanälen der infizierten Nutzer gemeinsam mit den Links zu einem passwortgeschützten Archiv. Die Videos werben für Cheats und Cracks und bieten Anleitungen zum Hacken beliebter Spiele und Software. Zu den genannten Games gehören APB Reloaded, CrossFire, DayZ, Dying Light 2, F1® 22, Farming Simulator, Farthest Frontier, FIFA 22, Final Fantasy XIV, Forza, Lego Star Wars, Osu!, Point Blank, Project Zomboid, Rust, Sniper Elite, Spider-Man, Stray, Thymesia, VRChat und Walken.

Wenn die Opfer das Originalpaket herunterladen, entpackt sich das RAR-Archiv von selbst. Es enthält eine Reihe schädlicher Dateien, Dienstprogramme und ein Skript zur automatischen Ausführung des Inhalts. Einige der Dateinamen haben explizite Ausdrücke.

Des Weiteren enthält das Bundle einen Miner. Dies ergibt durchaus Sinn, da die Hauptzielgruppe, dem gefundenen Video nach zu urteilen, Gamer sind. Sie haben mit hoher Wahrscheinlichkeit Grafikkarten installiert, die zum Mining verwendet werden können.

„Gamer sind eine der beliebtesten Zielgruppen von Cyberkriminellen“, kommentiert Oleg Kupreev, Senior Security Researcher bei Kaspersky. „In diesem Fall nutzten die Angreifer spielbezogene Inhalte als Köder, um die Anmeldedaten der Opfer zu stehlen und deren Computer für Mining zu nutzen. Wir raten dazu, die Quellen für Gaming sorgfältig auszuwählen und keine verdächtigen Archive von nicht vertrauenswürdigen Konten herunterzuladen.“

Weitere Informationen über Redline-Angriffe unter https://securelist.com/self-spreading-stealer-attacks-gamers-via-youtube/107407/

 

[1] https://securelist.com/self-spreading-stealer-attacks-gamers-via-youtube/107407/

[2] https://securelist.com/gaming-related-cyberthreats-2021-2022/107346/


Nützliche Links:

Selbstverbreitender Stealer RedLine hat Passwörter von Gamern auf YouTube im Visier

Cyberkriminelle machen derzeit aktiv Jagd auf Gaming-Konten und Computerressourcen für Spiele.
Kaspersky Logo