Los actores de amenazas están distribuyendo un nuevo malware de bot de YouTube que puede aumentar artificialmente la clasificación de videos en la plataforma y robar información confidencial de los navegadores. El bot recibe comandos del servidor C2 para otras actividades maliciosas. Investigadores de Cyble descubrieron que un malware bot de YouTube que se distribuye […]
Los actores de amenazas están distribuyendo un nuevo malware de bot de YouTube que puede aumentar artificialmente la clasificación de videos en la plataforma y robar información confidencial de los navegadores.
El bot recibe comandos del servidor C2 para otras actividades maliciosas.
Investigadores de Cyble descubrieron que un malware bot de YouTube que se distribuye como un archivo ejecutable de 32 bits compilado con NET.
Se requieren cuatro cadenas de argumentos que incluyen: la identificación del video, la duración, los me gusta y los comentario para ejecutar el archivo ejecutable.
Tras la ejecución, el malware realiza una comprobación de AntiVM para evitar que los investigadores lo detecten y analicen en un entorno virtual. Si determina que se está ejecutando en un entorno controlado, finaliza la ejecución. De lo contrario, procederá a realizar las tareas especificadas en las cadenas de argumentos.
Además, el malware crea mutex y se copia a sí mismo en la carpeta %appdata% con el nombre AvastSecurity.exe y lo ejecuta con cmd.exe.
El nuevo mutex ayuda a establecer la persistencia y crea una entrada en el programador de tareas. El archivo AvastSecurity.exe recopila cookies, autorelleno y datos de inicio de sesión de los navegadores Chromium instalados en el sistema de la víctima.
Finalmente, el malware llama a la función YouTube Playwright pasando los argumentos mencionados anteriormente junto con la ruta del navegador y la información de la cookie para ver el video especificado.
El bot de YouTube inicia el contexto del navegador con los parámetros y utiliza la función YouTube Playwright para automatizar tareas como ver, dar me gusta y comentar videos de YouTube. La función se basa en el paquete Microsoft.Playwright.
El malware se conecta a un servidor C2 y recibe comandos para eliminar la entrada de la tarea programada y finalizar su propio proceso, extraer archivos de registro al servidor C2, descargar y ejecutar otros archivos e iniciar/detener la visualización de un video de YouTube. Además, comprueba si el sistema de la víctima tiene las dependencias necesarias, como el navegador Chrome y el paquete Playwright instalado. Si estas dependencias están ausentes, las descargará e instalará cuando reciba el comando ‘ver’.
Artículos relacionados
Los atacantes abusan cada vez más de los archivos XLL
27 de diciembre de 2022Los ciberdelincuentes utilizan cada vez más los XLL como vector de infección en sus ataques. Existen varios métodos, como funciones de manejo de eventos en archivos de Excel para iniciar archivos XLL automáticamente, así como la explotación de las vulnerabilidades de los archivos XLL para atacar a sus víctimas.
