Bleeping Computer 網站披露，一個新的惡意軟件包利用受害者YouTube頻道宣傳流行游戲的破解方法，這些上傳的視頻中包含了下載破解和作弊器的鏈接，但是受害者安裝的卻是能夠自我傳播的惡意軟件包。

據悉，惡意軟件捆綁包已經在YouTube視頻中廣泛傳播，其針對的主要目標是一些玩 FIFA、Forza Horizon、樂高星球大戰和蜘蛛俠等游戲的粉絲。

惡意軟件RedLine

卡巴斯基在一份報告中指出，研究人員發現一個 RAR 檔案中包含了一系列惡意軟件，其中最引人注目的是 RedLine，這是目前最大規模傳播的信息竊取者之一。

RedLine 可以竊取存儲在受害者網絡瀏覽器中的信息，例如 cookie、賬戶密碼和信用卡，還可以訪問即時通訊工具的對話，并破壞加密貨幣錢包。

除此之外，RAR 檔案中還包括一個礦工，利用受害者的顯卡為攻擊者挖掘加密貨幣。

由于捆綁文件中合法的 Nirsoft NirCmd 工具 nir.exe，當啟動時，所有的可執行文件都會被隱藏，不會在界面上生成窗口或任何任務欄圖標，所以受害者很難發現這些情況。

YouTube上自我傳播的RedLine

值得一提的是，卡巴斯基在存檔中發現了一種“不尋常且有趣”的自我傳播機制，該機制允許惡意軟件自我傳播給互聯網上的其他受害者。

具體來說，RAR包含運行三個惡意可執行文件的批處理文件，即 “MakiseKurisu.exe”、“download.exe ”和 “upload.exe”，它們可以執行捆綁的自我傳播。

RAR中包含的文件（卡巴斯基）

第一個是 MakiseKurisu，是廣泛使用 C# 密碼竊取程序的修改版本，僅用于從瀏覽器中提取 cookie 并將其存儲在本地。

第二個可執行文件“download.exe”用于從 YouTube 下載視頻，這些視頻是宣傳惡意包視頻的副本。這些視頻是從 GitHub 存儲庫獲取的鏈接下載的，以避免指向已從 YouTube 報告和刪除的視頻 URL。

宣傳惡意軟件包的YouTube視頻（卡巴斯基）

第三個是“upload.exe ”，用于將惡意軟件推廣視頻上傳到 YouTube。使用盜取的 cookies 登錄到受害者 YouTube 賬戶，并通過他們的頻道傳播捆綁的惡意軟件。

上傳惡意視頻的代碼（卡巴斯基）

卡巴斯基在報告中解釋，[upload.exe]使用了 Puppeteer Node 庫，提供了一個高級別 API，用于使用 DevTools 協議管理 Chrome 和 Microsoft Edge。當視頻成功上傳到 YouTube 時，upload.exe 會向 Discord 發送一條信息，并附上上傳視頻的鏈接。

生成Discord通知（卡巴斯基）

如果YouTube頻道所有者日常不是很活躍，他們不太可能意識到自己已經在 YouTube 上推廣了惡意軟件，這種傳播方式使 YouTube 上的審查和取締更加困難。

參考文章：https://www.bleepingcomputer.com/news/security/new-malware-bundle-self-spreads-through-youtube-gaming-videos/