Пользователи YouTube рискуют стать жертвами новой мошеннической кампании

Иллюстрация: Alex Castro / The Verge

Также вместо игры пользователь получает несколько файлов, предназначенных для автоматизации распространения вредоносной рекламы на видеоплатформе. Чаще всего мошенническое ПО замаскированы под копии популярных гейминговых проектов, таких как CrossFire, Farming Simulator, FIFA 22, Final Fantasy, Lego Star Wars.

Вместо обещанных читов или копий жертва мошенников скачивает самораспаковывающийся архив с исполняемыми файлами и скриптами. После скачивания автоматически запускается RedLine, майнер и AutoRun.exe, копирующий себя в системную папку.

Известно, что в файле содержится два скрипта, активирующих MakiseKurisu.exe, download.exe и upload.exe, которые обеспечивают дальнейшее распространение бандла. Окна и иконки вредоносных программ скрываются от пользователя с помощью утилиты nir.exe.

 MakiseKurisu – программа, написанная на С и предназначенная для похищения паролей. Инфостилер изымает cookie из браузера и сохраняет их в отдельном файле. Похищенные данные не отправляются третьим лицам – они используются для получения доступа к учётке на YouTube.