Мошенническая компания YouTube устанавливает бэкдор njRAT

Мошенническая компания YouTube, замаскированная под программное обеспечение, которое предлагает бесплатные биткойны, устанавливает бэкдор njRAT.

Эти промо-ролики YouTube претендуют на звание бесплатных подарков или игр, позволяющих выиграть бесплатные биткойны, устанавливая njRAT (Remote Access Trojan), который способен похитить имя пользователя, учетные данные браузера и регистрацию нажатий клавиш.

В чем проблема?

Исследователь безопасности по имени Фрост открыл мошенническую кампанию на YouTube, которая продвигает вредоносное программное обеспечение, которое предлагает бесплатные биткойны. Однако эта кампания фактически устанавливает njRAT.

Подробнее о мошенничестве

Эти промо-ролики YouTube претендуют на звание бесплатных подарков или игр, позволяющих выиграть бесплатные биткойны. Эти видео содержат строку «FREEBITCO IN» ​​в заголовке или описании.

• Описание видео включает ссылку http://bit.ly, которая перенаправляет пользователей на целевую страницу, которая предлагает «Скрипт обновления Freebitcoins 2019».
• Этот скрипт необходимо скачать и запустить, чтобы получить бесплатный биткойн.
• После того, как пользователи нажимают кнопку «Загрузить», чтобы загрузить скрипт, он перенаправляет пользователей на бесплатный сервис обмена файлами, где они могут загрузить скрипт «SCRIPT UPDATE WIN BTC.VBS».
• Этот файл VBS запутан. Как только пользователь деобфусцирует файл, он сохранит встроенные строки в кодировке base64 как исполняемый файл.
• Этот исполняемый файл является njRAT. После выполнения njRAT соберет системную информацию и отправит ее на свой C & C-сервер.
• njRAT может похищать имя пользователя, учетные данные браузера и регистрацию нажатий клавиш.

Суть вопроса

Рекомендуется никогда не загружать файлы, заканчивающиеся на VBS, JS или BAT, с какого-либо файлообменного сайта, поскольку эти файлы широко используются для установки троянов.