Posts Tagged ‘PB Reloaded’

Passwortklau von Gamern auf YouTube

22. September 2022

In unserer Familie wird viel gezockt und ich mische auch kräftig als kleiner YouTuber mit. Da hat mich eine Meldung von Kaspersky nervös gemacht. Die Kaspersky-Experten haben auf YouTube ein ungewöhnliches Schadprogramm-Bundle identifiziert, also eine Sammlung von Schadprogrammen, die in Form einer einzigen Installationsdatei, eines selbstextrahierenden Archivs oder einer anderen Datei mit Installationsfunktionalität verbreitet werden. Dieses zielt auf Gamer ab. Es wird der verbreitete Stealer ‚RedLine‘ eingesetzt, einer der häufigsten Trojaner, der zum Diebstahl von Passwörtern und Anmeldeinformationen aus Browsern verwendet wird.

Cyberkriminelle machen nach Angaben von Kaspersky derzeit aktiv Jagd auf Gaming-Konten und Computerressourcen für Spiele. Kaspersky-Analysen zufolge wird Malware vom Typ Stealer häufig unter dem Deckmantel von Spiele-Hacks, Cheats und Cracks verbreitet. Die Sicherheitsforscher haben eine bislang neue Art schädlicher Aktivitäten im Zusammenhang mit Spielen entdeckt. Die Angreifer platzierten schädliche Pakete auf den YouTube-Kanälen ihrer Opfer unter dem Deckmantel spielbezogener Inhalte zusammen mit einem Link zu einem selbstextrahierenden RAR-Archiv in der Videobeschreibung. Das Archiv enthält mehrere schädliche Dateien – unter anderem einen berüchtigten RedLine-Stealer.

Cyberkrimelle können auf diese Weise Benutzernamen, Passwörter, Cookies, Bankkartendaten und Autofill-Daten von Chromium- und Gecko-basierten Browsern, Daten von Krypto-Wallets, Instant Messengern und FTP/SSH/VPN-Clients sowie Dateien gewisser Geräteerweiterungen erbeuten. Darüber hinaus kann RedLine Programme von Drittanbietern herunterladen und ausführen, Befehle in cmd.exe ausführen sowie Links im Standardbrowser öffnen. Der Stealer verbreitet sich auf verschiedene Weise, unter anderem über schädliche Spam-E-Mails und Drittanbieter-Loader.

Verbreitung der Malware

Neben der RedLine-Payload selbst ist das entdeckte Paket auch wegen seiner Fähigkeit zur Selbstverbreitung interessant. Dafür sind mehrere Dateien in dem Paket verantwortlich Sie empfangen Videos und posten diese auf den YouTube-Kanälen der infizierten Nutzer gemeinsam mit den Links zu einem passwortgeschützten Archiv. Die Videos werben für Cheats und Cracks und bieten Anleitungen zum Hacken beliebter Spiele und Software. Zu den genannten Games gehören APB Reloaded, CrossFire, DayZ, Dying Light 2, F1® 22, Farming Simulator, Farthest Frontier, FIFA 22, Final Fantasy XIV, Forza, Lego Star Wars, Osu!, Point Blank, Project Zomboid, Rust, Sniper Elite, Spider-Man, Stray, Thymesia, VRChat und Walken.

Wenn die Opfer das Originalpaket herunterladen, entpackt sich das RAR-Archiv von selbst. Es enthält eine Reihe schädlicher Dateien, Dienstprogramme und ein Skript zur automatischen Ausführung des Inhalts. Einige der Dateinamen haben explizite Ausdrücke.
Des Weiteren enthält das Bundle einen Miner. Dies ergibt durchaus Sinn, da die Hauptzielgruppe, dem gefundenen Video nach zu urteilen, Gamer sind. Sie haben mit hoher Wahrscheinlichkeit Grafikkarten installiert, die zum Mining verwendet werden können.