RedLineとRacoon StealerとYouTube
RedLineとRacoon StealerがYouTubeでやってきます。
どちらも情報搾取を目的としたマルウェアです。
これらの新しいキャンペーンが確認されています。
今回のキャンペーンの入口はメールではありません。
YouTubeです。
YouTubeに投稿されたビデオの説明欄にURLが含まれます。
このURLでマルウェアが配布されます。
RedLineとRacoon Stealerは別々のマルウェアです。
今回、2つの感染が同時に同じ手法で展開されていることが観測されています。
すごい速度で広がっています。
その流れは次のようなものです。
- 不正に入手したgoogleアカウントでマルウェアを拡散するための新しいYouTubeチャンネルを立ち上げる
- そこに動画を投稿し、説明欄にマルウェアのURLを埋め込む
- 動画閲覧者が動画の説明を参照し、URLをクリックすると、被害者になる
- 被害者のアカウント情報を盗む
- 盗んだアカウント情報を使って、マルウェアを拡散するための新しいYouTubeチャンネルを立ち上げる
- 以降、繰り返し
無限に広がる可能性が考えられる方法です。
例としては、わずか20分で100の新しいビデオと81のチャンネルが作成されたことが確認されています。
この攻撃では、ソフトウェアクラック、ライセンス、ハウツーガイド、暗号通貨、マイニング、ゲームチート、VPNソフトウェア、およびその他の人気のあるカテゴリに関するジャンルの情報が選択されます。
これらのビデオには、特定のプログラムまたはユーティリティを使用してタスクを実行する方法を説明するコンテンツが含まれているのです。
このため、このビデオの閲覧者はビデオを閲覧した後、説明にあるソフトウェアを自分自身でダウンロードし、それを自分自身で明示的に起動します。
そうです。
この方法の場合、マルウェアをこっそり送り込んでこっそり実行する必要がないのです。
マルウェアを置いておけば、勝手にダウンロードして勝手に被害者になってくれるのです。
そしてその被害者の情報は次の被害者を作るための活動に使用されます。
恐ろしい作戦です。
ソフトウェアの入手には気をつけたいものです。
参考記事(外部リンク):Massive campaign uses YouTube to push password-stealing
malware
www.bleepingcomputer.com/news/security/massive-campaign-uses-youtube-to-push-password-stealing-malware/
