Мошенническая компания YouTube, замаскированная под программное обеспечение, которое предлагает бесплатные биткойны, устанавливает бэкдор njRAT.
Эти промо-ролики YouTube претендуют на звание бесплатных подарков или игр, позволяющих выиграть бесплатные биткойны, устанавливая njRAT (Remote Access Trojan), который способен похитить имя пользователя, учетные данные браузера и регистрацию нажатий клавиш.
В чем проблема?
Исследователь безопасности по имени Фрост открыл мошенническую кампанию на YouTube, которая продвигает вредоносное программное обеспечение, которое предлагает бесплатные биткойны. Однако эта кампания фактически устанавливает njRAT.
Подробнее о мошенничестве
Эти промо-ролики YouTube претендуют на звание бесплатных подарков или игр, позволяющих выиграть бесплатные биткойны. Эти видео содержат строку «FREEBITCO IN» в заголовке или описании.
- Описание видео включает ссылку http://bit.ly, которая перенаправляет пользователей на целевую страницу, которая предлагает «Скрипт обновления Freebitcoins 2019».
- Этот скрипт необходимо скачать и запустить, чтобы получить бесплатный биткойн.
- После того, как пользователи нажимают кнопку «Загрузить», чтобы загрузить скрипт, он перенаправляет пользователей на бесплатный сервис обмена файлами, где они могут загрузить скрипт «SCRIPT UPDATE WIN BTC.VBS».
- Этот файл VBS запутан. Как только пользователь деобфусцирует файл, он сохранит встроенные строки в кодировке base64 как исполняемый файл.
- Этот исполняемый файл является njRAT. После выполнения njRAT соберет системную информацию и отправит ее на свой C & C-сервер.
- njRAT может похищать имя пользователя, учетные данные браузера и регистрацию нажатий клавиш.
Суть вопроса
Рекомендуется никогда не загружать файлы, заканчивающиеся на VBS, JS или BAT, с какого-либо файлообменного сайта, поскольку эти файлы широко используются для установки троянов.
