Ресерчеры Лаборатории Касперского раскрыли новую кампанию с использованием самораспространяющегосяся бандла с кастомизированным стилером.

Как еще ранее отметили ресерчеры в своем отчете о киберугрозах для геймеров, злоумышленники активно охотятся за игровыми аккаунтами и ресурсами игровых компьютеров, а вредоносное ПО, такое как стилеры, распространяется под видом взломанных игр, читов и кряков.

Обнаруженный необычный вредоносный бандл в качестве основной полезной нагрузки включал популярный стилер RedLine, который с момента обнаружения в 2020 года стал одним из самых распространенных троянцев и продается в даркнете всего за несколько сотен долларов.

Но интересно другое, а именно - механизм самораспространения. Функцию реализует несколько файлов, которые получают и размещают на YouTube-каналах зараженных пользователей видеоролики со ссылками на запароленный архив с бандлом в описании.

Ролики рекламируют читы, кряки, инструкции по взлому популярных игр и ПО, включая APB Reloaded, CrossFire, DayZ, Dying Light 2, F1® 22, Farming Simulator, Farthest Frontier, FIFA 22, Final Fantasy XIV, Forza, Lego Star Wars, Osu!, Point Blank, Project Zomboid, Rust, Sniper Elite, Spider-Man, Stray, Thymesia, VRChat и Walken.

Оригинальный бандл — это самораспаковывающийся RAR-архив, содержащий в себе несколько вредоносных файлов, чистые вспомогательные утилиты и скрипт для автоматического запуска распакованного содержимого.

Сразу после распаковки запускаются три исполняемых файла: стилер RedLine, майнер, а третий запихивается в автозапуск, запуская BATCH-файлы, которые, в свою очередь, инициируют три других: akiseKurisu.exe, download.exe и upload.exe, отвечающих за самораспространение бандла.

При этом один из BATCH-файлов запускает утилиту nir.exe, которая обеспечивает работу вредоносных исполняемых файлов без отображения окон и иконок на панели задач.

Файл download.exe скачивает видео и описание к нему со ссылками на вредоносный архив для YouTube. Ссылки для скачивания файлов вредонос берет из репозитория на GitHub. В последних модификациях скачивается 7zip-архив с видео и описаниями, разложенными по каталогам. Распаковка архива происходит с помощью консольной версии 7z, которая включена в бандл.

MakiseKurisu.exe — это ПО для кражи паролей, написанная на C# и модифицированная под нужды создателей бандла. Единственная рабочая функция обеспечивает лишь извлечение cookie из браузеров, благодаря чему бандл получает доступ к YouTube-аккаунту зараженного пользователя, куда впоследствии загружает видео.

Upload.exe отвечает за загрузку видео на YouTube, использует Node-библиотеку puppeteer, которая предоставляет высокоуровневый API для управления браузерами Chromе и Microsoft Edge при помощи протокола DevTools.

После успешной загрузки видео на YouTube upload.exe отправляет сообщение в Discord со ссылкой на новое видео.

Учитывая все эти факторы, ресерчеры рекомендуют геймерам с большой осторожностью относиться к нелегальному ПО.