• 發布單位:TWCERT/CC
• 更新日期:2019-03-25
• 點閱次數:329

俄羅斯資安公司Dr. Web資安研究人員發現有網路犯罪分子正透過YouTube網站傳播惡意軟體。

該惡意軟體命名為「Trojan.PWS.Stealer.23012」以及新版本「 Trojan.PWS.Stealer.23198」，是由Python程式語言編寫，主要針對Microsoft Windows的設備，竊取電子郵件和社交媒體帳戶的登錄憑證。
駭客會在YouTube影片的評論和描述部分發布惡意連結，主要針對影片類型多為使用特殊應用的遊戲玩家和作弊示範或教學等影片，並會在影片敘述或留言的地方提供聲稱可以存取遊戲秘笈和其他有用的工具連結，並偽稱連結所下載的檔案是乾淨合法的，以引誘遊戲玩家點擊連結。
然實際上這些連結將用戶導向Yandex Disk伺服器上，該伺服器是Yandex提供的俄羅斯雲服務，允許用戶將檔案儲存在雲端伺服器上並線上與他人共享。
一旦受害者點擊連結，就會下載一個包含Trojan.PWS.Stealer.23012的自解壓RAR檔案。安裝該檔案後，便會感染Windows電腦，並從網頁瀏覽器(包括Chrome，Opera，Vivaldi等)竊取cookie。
此外，惡意軟體也竊取保存在受害者網頁瀏覽器中的登錄憑證，並在其設備上截取用戶活動的螢幕截圖。並且從Windows桌面複製檔案，針對的檔案副檔名包括".txt"、".pdf"、".jpg"、".png"、".xls"、".doc"、".docx"、".sqlite"、".db"、".sqlite3"、".bak"、".sql"和".xml"。
收集完資料後，惡意軟體會將其存儲在受害者本機C槽的資料夾路徑"C：/ PG148892HQ8"的Spam.zip檔案中，並將其發送到由駭客設置的命令和控制伺服器(C&C)。

●TWCERT/CC建議遊戲玩家和YouTubers避免點擊Youtube網站或任何其他網站評論(留言)區留下的未經驗證的連結，以免遭駭客利用。

參考連結：

https://www.hackread.com/hackers-spread-password-stealer-malware-from-youtube/
https://news.drweb.com/show?i=11780&lng=en