HackerNews 编译,转载请注明出处:
网络犯罪分子通过发送虚假的版权索赔来勒索 YouTubers,迫使他们在视频中推广恶意软件和加密货币矿工。
这些威胁行为者利用 Windows Packet Divert (WPD) 工具在俄罗斯的流行程度,这些工具帮助用户绕过互联网审查和政府对网站及在线服务的限制。
YouTubers 为迎合这一受众群体,发布了关于如何使用各种基于 WPD 的工具绕过审查的教程,并成为威胁行为者的目标,这些行为者伪装成这些工具的版权持有者。
在大多数情况下,威胁行为者声称是所展示限制绕过工具的原始开发者,向 YouTube 提出版权索赔,然后联系创作者,提供解决方案,即在视频中包含他们提供的下载链接。
同时,他们威胁说,如果不遵守,将在 YouTube 上再增加两次“打击”,根据平台的“三次打击”政策,可能导致频道被封禁。
在其他情况下,攻击者直接联系创作者,伪装成工具的开发者,声称原始工具有一个新版本或新的下载链接,要求创作者在视频中更改链接。
YouTubers 出于对失去频道的担忧,屈服于威胁行为者的勒索,同意在视频中添加指向托管这些所谓的 WPD 工具的 GitHub 存储库的链接。然而,这些是被植入木马的版本,包含了一个加密矿工下载器。
卡巴斯基观察到这种推广被植入木马的 WPD 工具的行为发生在一段有超过 400,000 次观看的 YouTube 视频中,恶意链接在被移除前达到了 40,000 次下载。
一个拥有 340,000 订阅者的 Telegram 频道也以同样的伪装推广了恶意软件。
“根据我们的遥测,这场恶意软件活动已经影响了俄罗斯 2,000 多名受害者,但实际数字可能更高,”卡巴斯基警告说。
恶意软件加载程序是从 GitHub 存储库下载的包含 Python 恶意软件加载程序的恶意存档,通过修改后的启动脚本(“general.bat”)使用 PowerShell 启动。
如果受害者的防病毒软件干扰了这一过程,启动脚本会提示用户禁用防病毒软件并重新下载文件。
可执行文件仅针对俄罗斯 IP 地址获取第二阶段加载程序并在设备上执行。
第二阶段负载是另一个可执行文件,其大小被膨胀到 690 MB 以逃避防病毒分析,同时它还具备反沙盒和虚拟机检查功能。
恶意软件加载程序通过添加排除项和创建名为 “DrvSvc” 的 Windows 服务来关闭 Microsoft Defender 保护,以实现重启后的持久性。
最终,它下载最终负载,SilentCryptoMiner,这是一个修改版的 XMRig,能够开采多种加密货币,包括 ETH、ETC、XMR 和 RTM。
coin miner 每 100 分钟从 Pastebin 获取远程配置,以便动态更新。
为了逃避检测,它被加载到如 “dwm.exe” 的系统进程中,使用进程空心化技术,并在用户启动如 Process Explorer 和 Task Manager 的监控工具时暂停挖矿活动。
尽管卡巴斯基发现的这场活动主要针对俄罗斯用户,但相同的策略也可能被用于更广泛范围的操作,这些操作还可能投放信息窃取器或勒索软件等风险更高的恶意软件。
用户应避免从 YouTube 视频或描述中的网址下载软件,尤其是来自较小到中等规模的频道,这些频道更容易受到欺诈和勒索的影响。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
