На YouTube появился бот, ворующий куки и пароли из Google Chrome
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

На YouTube появился бот, ворующий куки и пароли из Google Chrome

Татьяна Никитина 26 Декабря 2022 - 18:56
...
На YouTube появился бот, ворующий куки и пароли из Google Chrome

Исследователи из Cyble обнаружили новый бот для YouTube с задатками трояна-стилера: вредонос умеет добывать конфиденциальную информацию из браузеров и выполнять команды, подаваемые с C2-сервера. В остальном данный Windows-зловред ведет себя так же, как обычный имитатор: включает видео, ставит «лайки», добавляет комментарии.

Выбранный для анализа семпл представлял собой 32-битный исполняемый файл, скомпилированный как консольное приложение VB.NET. Вредонос был впервые загружен на VirusTotal 18 декабря; в настоящее время его детектируют больше половины антивирусов из коллекции (56/71 по состоянию на 25 декабря).

При запуске зловред вначале проверяет наличие управляемой среды, чтобы избежать анализа. Обнаружив VirtualBox или продукты VMware, он откатывает дальнейшее исполнение.

Завершив проверку, троян ищет и прибивает процессы, используя вшитый список именованных мьютексов и команду taskkill. После этого он пытается отыскать свой экзешник в %appdata%; если его там нет, бот копирует себя в папку как AvastSecurity.exe и запускает копию на исполнение с помощью cmd.exe.

Вредонос также создает новый мьютекс формата sm:<ID текущего процесса> и новое запланированное задание на автозапуск (для обеспечения постоянного присутствия в системе).

Создав оптимальные условия для работы, троян начинает собирать куки и учетные данные из установленных Chromium-браузеров, используя функцию Grab(). Собранная информация затем используется для выполнения действий на YouTube от имени жертвы, таких как запуск видео, нажатие кнопки «Нравится», публикация комментариев. Автоматизировать эти задачи в браузере зловреду помогает легитимный пакет Microsoft.Playwright.

Для управления трояном используются следующие команды:

  • selfDestruct — удаление прежде созданной запланированной задачи, завершение процесса;
  • getLog — отправка лог-файла на C2 (версия бота, информация о просмотрах видео, статус соединения с сервером и т. п.);
  • downloadAndRun — загрузка и запуск других файлов;
  • stopView — останов просмотра видео на YouTube;
  • view — запуск просмотра.
Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Ограбление Лувра за восемь минут: система охраны имела пароль «Louvre»
Екатерина Быстрова 05 Ноября 2025 - 18:36
Общее Системы аутентификацииПарольная защита (пароли)
Ограбление Лувра за восемь минут: система охраны имела пароль «Louvre»

В Париже расследуют одно из самых дерзких ограблений последних лет — из музея Лувр украли королевские украшения, которым несколько веков. Ценности до сих пор не найдены, а подробности случившегося больше напоминают сюжет фильма, чем реальную историю. Как выяснилось, пароль от системы видеонаблюдения музея был… «Louvre».

Об этом сообщает французская газета Libération со ссылкой на PCGamer. Ещё в 2014 году аудит, проведённый Национальным агентством кибербезопасности Франции, указал на эту уязвимость.

Позднейшие проверки выявили и другие проблемы — устаревшее программное обеспечение, которому уже больше 20 лет, и недостаточно защищённые входы на крышу во время строительных работ.

Само ограбление произошло утром в воскресенье, около 9:30 по местному времени, прямо во время работы музея. По данным полиции, четверо злоумышленников подъехали к зданию на небольшом грузовике с лестницей, прорезали стену на втором этаже и проникли в галерею.

Они угрожали охране и посетителям, но никто не пострадал. Через четыре минуты грабители покинули здание и скрылись в Париже. Вся операция заняла восемь минут.

Полиция уже задержала нескольких подозреваемых, четверым предъявлены обвинения. Однако похищенные украшения, стоимость которых оценивается в десятки миллионов долларов, пока не найдены.

Лувр, несмотря на свою репутацию одной из самых охраняемых галерей в мире, не впервые становится целью грабителей. Самый известный случай произошёл в 1911 году, когда украли «Мону Лизу». Последнее подобное ограбление случилось в 1998 году — и вот, спустя почти тридцать лет, история повторилась.

Эксперты отмечают, что трагикомичная деталь с паролем «Louvre» наглядно показывает: информационная безопасность может быть не менее важна, чем сигнализация и замки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В России вырос объем фишинга с использованием ИИ
Новость
В России вырос объем фишинга с использованием ИИ
Уязвимость в WinRAR используют для установки бэкдора RomCom
Новость
Уязвимость в WinRAR используют для установки бэкдора RomCom
ComicForm и Бэтмен: новая кибергруппа атаковала компании в России и СНГ
Новость
ComicForm и Бэтмен: новая кибергруппа атаковала компании в Р...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.