N’ouvrez pas ces vidéos YouTube sous peine de propager un logiciel malveillant sur votre PC gamer

Logiciel malveillant
(Crédit photo: Shutterstock)

Des chercheurs ont découvert une nouvelle campagne malveillante qui distribue un spyware de type voleur d'informations (infostealer) appelé RedLine Stealer. Ce, avec un mécanisme d'auto-propagation très impressionnant. 

Les experts en cybersécurité de Kaspersky ont découvert un nouveau malware qui se connecte aux comptes YouTube des utilisateurs compromis et télécharge une vidéo sur leur chaîne, celle-ci distribuant le fameux RedLine Stealer.

La victime, généralement un joueur PC, cherche une vidéo YouTube lui permettant d’accéder et d’exploiter des cracks une liste de cheat codes, pour l'un de ses titres préférés. Les licences FIFA, Final Fantasy, Forza Horizon, Lego Star Wars, ou Spider-Man s'avèrent particulièrement visées. Dans la description de la vidéo, on trouve des liens qui prétendent contenir ces cracks et cheats mais qui, en fait, hébergent plusieurs logiciels malveillants regroupés.

Réaction en chaîne

Le pack contient RedLine Stealer, l'un des voleurs d’informations les plus populaires actuellement. Il est capable de voler les mots de passe stockés dans les navigateurs, les cookies, des informations bancaires, des conversations de messagerie instantanée et des portefeuilles de cryptomonnaies. 

Vous téléchargerez par ailleurs un cryptojacker, essentiellement un mineur de cryptomonnaies qui utilise la puissance de calcul d’un terminal endpoint compromis pour extraire certaines devises cryptographiques. Le minage de cryptomonnaies nécessite généralement une puissance GPU importante, ce dont disposent la plupart des joueurs.

Mais ce qui se révèle sans doute le plus intéressant, c'est que le bundle contient trois exécutables malveillants, utilisés pour l'auto-propagation. Ils sont appelés "MakiseKurisu.exe", "download.exe" et "upload.exe". MakiseKurisu est un voleur d'informations qui s'empare des cookies du navigateur et les stocke localement. 

Ensuite, download.exe récupère la fausse vidéo de crack dans un dépôt GitHub et la transmet à upload.exe, qui la télécharge sur le compte YouTube de la victime… après avoir utilisé des cookies pour se connecter.

Si la victime n'est pas une utilisatrice assidue de YouTube ou si les notifications sont désactivées, il apparaît fort probable que la vidéo malveillante reste longtemps sur sa chaîne YouTube avant d'être retirée.

"Lorsque la vidéo est téléchargée avec succès sur YouTube, upload.exe envoie un message à Discord avec un lien vers la vidéo téléchargée", explique Kaspersky.

Via BleepingComputer

Sead Fadilpašić

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.