Gefahrenquelle YouTube: Betrug spielend leicht
Montag, 1. Juni 2020
Was machen Menschen während der Arbeitszeit? Einige lassen sich von der Arbeit durch Onlinespiele ablenken. Welche Gefahren verstecken sich dahinter?
Der Sicherheitsspezialist Doctor Web erkannte einen Trojaner, der in Kommentaren zu Videos auf YouTube verbreitet wurde und vertrauliche Informationen von infizierten Geräten stahl.
In der Regel veröffentlichen Cyberkriminelle Links auf die Malware in Kommentaren zu Videos über Cheats und Anwendungen, die den Spielverlauf beeinflussen.
Die Malware wird als Programm zum Cheaten verbreitet. Beim Klick auf den Link wird ein selbstentpackendes RAR-Archiv heruntergeladen, das einen Trojaner enthält.
Mitarbeiter, die während der Arbeitszeit Computerspiele spielen, könnten sich Videos über Cheats auf YouTube ansehen, um in schweren Spielabschnitten weiterzukommen. Dies nutzen Cyberkriminelle aus. Sie werben auf YouTube für Ihre Malware.
Den zweiten Platz in der Liste der meistaufgerufenen Videos nimmt die Videoanweisung über die Software ein, die es angeblich ermöglicht, Kryptowährung aus beliebigen BTC- und ETH-Geldbörsen an eigene Geldbörsen zu überweisen. Cyberkriminelle behaupten, man bräuchte nur den gewünschten Betrag und die Adresse des Absenders angeben. – Nach Zahlung der Transaktionsgebühr solle das Geld an die angegebene Geldbörse überwiesen werden.
Neben der eindeutig betrügerischen Software werden einige angeblich legitime Tools (meist Trading-Bots) über den Kanal verbreitet. Unter allen Videos werden dieselben Links auf Filehostern angezeigt. Beim Klick auf diese Links wird ein ZIP-Archiv mit drei Ordnern und einer setup.exe-Datei heruntergeladen. Dabei handelt es sich um den Trojaner Predator, der Informationen stiehlt.
Und dies ist bei weitem nicht die einzige Gefahr. Cyberkriminelle können YouTube und ähnliche Plattformen zur Datenübertragung nutzen.
Nach dem jüngsten Update nutzt Astaroth Beschreibungen von YouTube-Kanälen, um die URLs der Verwaltungsserver zu verbergen.
Nachdem der Trojaner das Gerät infiziert hat, stellt er eine Verbindung zu einem bestimmten YouTube-Kanal her und ruft die Beschreibung auf. Die Beschreibung enthält einen verschlüsselten und base64-codierten Text mit den URLs der Verwaltungsserver. Astaroth entschlüsselt die Daten und stellt eine Verbindung zu diesen URLs her, um neue Befehle zu erhalten und die gestohlenen Informationen weiterzuleiten.
Astaroth nutzt YouTube- und Facebook-Profile, um die Konfigurationsdaten der Verwaltungsserver zu hosten und zu pflegen. Die Daten werden in Facebook- oder YouTube-Profilen veröffentlicht.
„Die komplette Wahrheit über Viren & Co.“ empfiehlt
Wir betonen immer wieder: Auf Workstations Ihrer Mitarbeiter sollte nur notwendige Software installiert werden. Dieser Artikel zeigt, wie wichtig diese Anforderung ist.
Nutzen Sie die Komponente Office Control, um den Zugang zu potenziellen Gefahrenquellen einzuschränken.
Ihre Meinung ist uns wichtig
Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.
Kommentare der Teilnehmer
Неуёмный Обыватель
01:41:03 2020-06-02
EvgenyZ
21:03:43 2020-06-01
Masha
20:53:50 2020-06-01
Dmur
20:47:25 2020-06-01
Татьяна
20:40:35 2020-06-01
Toma
16:50:46 2020-06-01
ka_s
16:22:53 2020-06-01
Пaвeл
07:08:44 2020-06-01