CSIRT KNF opracował raport, w którym na czynniki pierwsze zostaje rozebrana jedna z metod oszustów. Tym razem na tapet wzięto złośliwe oprogramowanie znalezione na platformie YouTube i pokazano, jak działa.
CSIRT, czyli organ działający przy Komisji Nadzoru Finansowego, odpowiedzialny za odnajdowanie niebezpieczeństw w Internecie przygotował specjalny raport, Można się z niego dowiedzieć, w jaki sposób działa złośliwe oprogramowanie znalezione pod jednym filmem na platformie YouTube.
Badacze natrafili na film na YouTubie, który wyjaśniał jak pobrać za darmo i aktywować program Acrobat Reader, a pod spodem znajdowały się linki przekierowujące na strony, z których miałoby rozpocząć się pobieranie. Specjaliści z CSIRT pobrali plik .rar z opisu filmu oraz rozpakowali zawartość, która po otworzeniu miała rozmiar 78,8 MB. Zastosowano tu technikę sztucznego powiększenia rozmiarów plików w celu utrudnienia analizy złośliwego oprogramowania.
Następnie pliki przesłano do analizy w serwisie Tria.ge, która wykazała, że znajduje się tam oprogramowanie do kradzieży danych z urządzenia ofiary. Wykryto AMADEY, Stealer LUMMA oraz SECTOPRAT. Następnie sprawdzono, z jakimi adresami IP łączą się wspomniane wirusy. Okazało się, że najczęściej jest to IP 45.9.74.166 pochodzące z Niemiec. Za pomocą narzędzia Shodan.io przeanalizowano ETag strony, z którą się łączy złośliwe oprogramowanie, co doprowadziło badaczy do kolejnych adresów IP:
Analiza reszty plików znajdujących się w archiwum pobranym z linku na platformie YouTube pokazały podobne wyniki. Wszystkie zawierały przynajmniej dwa złośliwe oprogramowania, a ich cechą wspólną było łączenie się z co najmniej dwoma takimi samymi adresami IP (45.9.74.166 i 45.9.74.141). Pod nimi można znaleźć panel logowania do AmadeyBot.
Pełny raport CSIRT KNF dostępny jest tutaj.
Zobacz: Microsoft zgubił klucze. Szpiedzy z Chin skorzystali
Zobacz: Programiści na celowniku. Zło czai się w ofertach pracy
Źródło zdjęć: Shutterstock
Źródło tekstu: CSIRT KNF
