На YouTube появился бот, ворующий куки и пароли из Google Chrome

Татьяна Никитина 26 Декабря 2022 - 18:56

Домашние пользователи

Ботнет

Утечки информации

Умышленные утечки информации

Кража данных

...

На YouTube появился бот, ворующий куки и пароли из Google Chrome

Исследователи из Cyble обнаружили новый бот для YouTube с задатками трояна-стилера: вредонос умеет добывать конфиденциальную информацию из браузеров и выполнять команды, подаваемые с C2-сервера. В остальном данный Windows-зловред ведет себя так же, как обычный имитатор: включает видео, ставит «лайки», добавляет комментарии.

Выбранный для анализа семпл представлял собой 32-битный исполняемый файл, скомпилированный как консольное приложение VB.NET. Вредонос был впервые загружен на VirusTotal 18 декабря; в настоящее время его детектируют больше половины антивирусов из коллекции (56/71 по состоянию на 25 декабря).

При запуске зловред вначале проверяет наличие управляемой среды, чтобы избежать анализа. Обнаружив VirtualBox или продукты VMware, он откатывает дальнейшее исполнение.

Завершив проверку, троян ищет и прибивает процессы, используя вшитый список именованных мьютексов и команду taskkill. После этого он пытается отыскать свой экзешник в %appdata%; если его там нет, бот копирует себя в папку как AvastSecurity.exe и запускает копию на исполнение с помощью cmd.exe.

Вредонос также создает новый мьютекс формата sm:<ID текущего процесса> и новое запланированное задание на автозапуск (для обеспечения постоянного присутствия в системе).

Создав оптимальные условия для работы, троян начинает собирать куки и учетные данные из установленных Chromium-браузеров, используя функцию Grab(). Собранная информация затем используется для выполнения действий на YouTube от имени жертвы, таких как запуск видео, нажатие кнопки «Нравится», публикация комментариев. Автоматизировать эти задачи в браузере зловреду помогает легитимный пакет Microsoft.Playwright.

Для управления трояном используются следующие команды:

selfDestruct — удаление прежде созданной запланированной задачи, завершение процесса;
getLog — отправка лог-файла на C2 (версия бота, информация о просмотрах видео, статус соединения с сервером и т. п.);
downloadAndRun — загрузка и запуск других файлов;
stopView — останов просмотра видео на YouTube;
view — запуск просмотра.

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Яков Шпунт 13 Февраля 2026 - 10:44

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи Кросс Технолоджис

Злоумышленники перешли к новой схеме для перехвата кодов подтверждения

Злоумышленники всё чаще просят жертв продиктовать коды подтверждения из голосовых сообщений. Привычная схема с кодами из СМС постепенно теряет эффективность — в текстах сообщений многие компании начали размещать явные предупреждения о том, что код нельзя никому сообщать. Поэтому аферисты переключаются на голосовой канал, который нередко доступен для авторизации и восстановления доступа наряду с СМС.

О новой тенденции сообщили РИА Новости со ссылкой на сервис Smart Business Alert (SBA) компании ЕСА ПРО (входит в ГК «Кросс технолоджис»):

«Мошенники начали активно использовать звонки вместо СМС для выманивания у жертв одноразовых кодов. Классическая схема через СМС постепенно теряет эффективность. Компании, заботящиеся о репутации, всё чаще добавляют в сообщения явные предупреждения: никому не сообщать код. Это даёт человеку шанс остановиться, обдумать ситуацию и принять рациональное решение».

Для реализации схемы злоумышленники используют IP-телефонию с подменой номера. В результате входящий вызов отображается так, будто поступает от официальной организации, от имени которой действуют аферисты.

Кроме того, преступники могут записывать голос жертвы и затем использовать его в других сценариях или при развитии атаки в многоступенчатых схемах. Например, спустя несколько дней человеку могут позвонить якобы «сотрудники правоохранительных органов» и угрожать записью разговора как «доказательством» причастности к преступлению.

«Зачастую злоумышленникам даже не важно, от какого сервиса поступил звонок с кодом. Главное — чтобы человек продиктовал цифры. После этого к разговору подключаются “сотрудники” силовых структур: фейковые “майоры” начинают давить угрозами, обвинять в переводах средств, передаче геолокации и прочем», — пояснил руководитель сервиса SBA Сергей Трухачёв.

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!