Злоумышленники распространяют архивы с вирусами через YouTube. В зоне риска — геймеры.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

Специалисты по кибербезопасности из «Лаборатории Касперского» обнаружили массовое распространение вируса через YouTube. Злоумышленники нацелены на категорию игроков, оставляя ссылки на бесплатные версии популярных игр с читами. Закруженный архив устанавливает в систему жертвы криптомайнер и троян для сбора информации. Кроме того, некоторые файлы способствуют дальнейшему распространению вредоносной рекламы. Они получают и размещают рекламные ролики со ссылками на бадл от имени жертвы.

Чаще всего используются названия следующих игр: APB Reloaded, CrossFire, DayZ, Dying Light 2, F1 22, Farming Simulator, Farthest Frontier, FIFA 22, Final Fantasy XIV, Forza, Lego Star Wars, Osu!, Point Blank, Project Zomboid, Rust, Sniper Elite, Spider-Man, Stray, Thymesia, VRChat, Walken.

Самораспаковывающийся архив, содержащий исполняемые файлы и вспомогательные скрипты. После распаковки запускаются троян cool.exe, майнер ***.exe (имя файла скрыто из-за ненормативной лексики) и AutoRun.exe, который копирует себя в папку %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup и запускает первый из bat-файлов. Два скрипта выполняют запуск MakiseKurisu.exe, download.exe и upload.exe, отвечающих за самораспространение бандла, а также утилиты nir.exe, скрывающие иконки активных вирусов. Файл MakiseKurisu — предназначен для кражи паролей. Добытая информация используется для получения доступа к YouTube-аккаунту жертвы для дальнейшего распространения рекламы.