На YouTube появился бот, ворующий куки и пароли из Google Chrome
Главная » Новости

На YouTube появился бот, ворующий куки и пароли из Google Chrome

Татьяна Никитина 26 Декабря 2022 - 18:56
...
На YouTube появился бот, ворующий куки и пароли из Google Chrome

Исследователи из Cyble обнаружили новый бот для YouTube с задатками трояна-стилера: вредонос умеет добывать конфиденциальную информацию из браузеров и выполнять команды, подаваемые с C2-сервера. В остальном данный Windows-зловред ведет себя так же, как обычный имитатор: включает видео, ставит «лайки», добавляет комментарии.

Выбранный для анализа семпл представлял собой 32-битный исполняемый файл, скомпилированный как консольное приложение VB.NET. Вредонос был впервые загружен на VirusTotal 18 декабря; в настоящее время его детектируют больше половины антивирусов из коллекции (56/71 по состоянию на 25 декабря).

При запуске зловред вначале проверяет наличие управляемой среды, чтобы избежать анализа. Обнаружив VirtualBox или продукты VMware, он откатывает дальнейшее исполнение.

Завершив проверку, троян ищет и прибивает процессы, используя вшитый список именованных мьютексов и команду taskkill. После этого он пытается отыскать свой экзешник в %appdata%; если его там нет, бот копирует себя в папку как AvastSecurity.exe и запускает копию на исполнение с помощью cmd.exe.

Вредонос также создает новый мьютекс формата sm:<ID текущего процесса> и новое запланированное задание на автозапуск (для обеспечения постоянного присутствия в системе).

Создав оптимальные условия для работы, троян начинает собирать куки и учетные данные из установленных Chromium-браузеров, используя функцию Grab(). Собранная информация затем используется для выполнения действий на YouTube от имени жертвы, таких как запуск видео, нажатие кнопки «Нравится», публикация комментариев. Автоматизировать эти задачи в браузере зловреду помогает легитимный пакет Microsoft.Playwright.

Для управления трояном используются следующие команды:

  • selfDestruct — удаление прежде созданной запланированной задачи, завершение процесса;
  • getLog — отправка лог-файла на C2 (версия бота, информация о просмотрах видео, статус соединения с сервером и т. п.);
  • downloadAndRun — загрузка и запуск других файлов;
  • stopView — останов просмотра видео на YouTube;
  • view — запуск просмотра.
Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Новосибирске набирает обороты мошенничество от имени маркетплейсов
Яков Шпунт 15 Августа 2025 - 18:47
МошенничествоОнлайн-мошенничество Домашние пользователи
В Новосибирске набирает обороты мошенничество от имени маркетплейсов

Новая мошенническая схема, зафиксированная в Новосибирске, является разновидностью известного с мая сценария с фальшивой доставкой, но с дополнительным элементом — целью аферистов становится «угон» аккаунта на портале Госуслуг. Злоумышленники выдают себя за сотрудников маркетплейсов и выстраивают диалог так, чтобы выманить у жертвы данные для восстановления учётной записи.

Как пишут местные СМИ, особенность атак на новосибирцев в том, что мошенники утверждают, будто заказ отправили в дальний пункт выдачи. Затем они предлагают переместить его в более удобный для жертвы пункт или даже обещают оформить бесплатную доставку на дом.

Для «переноса» заказа аферисты требуют назвать код из СМС, который на самом деле используется для восстановления учётной записи на Госуслугах. В аналогичной схеме, появившейся в мае, преступники также запрашивали номера документов, ИНН или СНИЛС.

Нередко схема двухэтапная: после «сотрудников маркетплейса» в разговор вступают «полицейские» или «представители Роскомнадзора». Они сообщают об «угоне» аккаунта на Госуслугах и якобы совершённых через него незаконных операциях, после чего убеждают перевести деньги на «безопасный счёт» или передать их «федеральному инкассатору».

Отсутствие реального заказа аферистам не мешает — они рассчитывают на то, что многие часто совершают покупки онлайн и не помнят все детали, что подтверждают читатели НГС, столкнувшиеся с этой схемой лично.

В пресс-службе Wildberries напомнили, что сотрудники маркетплейсов общаются с клиентами только через официальные каналы — чат поддержки в приложении или на сайте. Передача товара курьеру возможна лишь после сканирования индивидуального графического кода получения.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Каждая вторая утечка данных в России связана с онлайн-торговлей
Новость
Каждая вторая утечка данных в России связана с онлайн-торгов...
ГК «Астра» удивила рынки: выручка в I квартале превысила 3 млрд
Новость
ГК «Астра» удивила рынки: выручка в I квартале превысила 3 м...
Новая APT-группа Cloaked Shadow атакует ИТ и промышленность в России
Новость
Новая APT-группа Cloaked Shadow атакует ИТ и промышленность...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.