Cyble Research and Intelligence Labs (CRIL) отслеживает новые и активные семейства вредоносных программ в природе. Недавно CRIL обнаружила новую вредоносную программу YouTube bot, которая может выполнять такие действия, как просмотр, лайки и комментарии к видео на YouTube. Более того, он может красть конфиденциальную информацию из браузеров и действовать как бот, получающий команды от командно-контрольного сервера (C&C) для других вредоносных действий.
YouTube Bot
YouTube - одна из лучших платформ для многих создателей контента. Он также имеет высокий потенциал для получения хорошего дохода. Однако создателям контента на YouTube нужна помощь, чтобы получить максимальное количество просмотров, лайков, комментариев и подписчиков для своих видео и каналов. В результате некоторые могут прибегнуть к использованию ботов YouTube для искусственного повышения своего рейтинга на платформе YouTube, что поможет им привлечь более широкую аудиторию за счет органических просмотров. Однако такой подход обычно считается нечестным и может противоречить условиям обслуживания платформы YouTube.
По мере роста популярности YouTube расширяется использование ботов YouTube. Эти боты представляют собой программы, которые могут автоматизировать выполнение задач на платформе YouTube, таких как просмотр, лайк или дислайк видео, подписка или отписка на каналы, оставление комментариев, добавление видео в плейлисты и т.д.
Для запуска исполняемого файла вредоносной программы требуется четыре строки аргументов, включая идентификатор видео, продолжительность видео, "нравится" и комментарий.
- Идентификатор видео - уникальный идентификатор видеоролика на YouTube.
- Продолжительность видео - Продолжительность видео для просмотра.
- Like - Установить True, чтобы видео понравилось.
- Комментарий - оставить комментарий к видео на YouTube.
Когда вредоносная программа выполняется, она сначала проверяет, запущена ли она в контролируемой среде, такой как VMware или VirtualBox, с помощью функции DetectVM(). Эта проверка предназначена для предотвращения обнаружения и анализа вредоносной программы в виртуальной среде. Если вредоносная программа определит, что она запущена в контролируемой среде, она не будет выполнять дальнейшие действия. В противном случае она приступит к выполнению задач, указанных в строках аргументов.
После проверки вредоносная программа ищет запущенные процессы с именем мьютекса "sm" и завершает их с помощью команды "taskkill", вызывая метод DeleteProcessesByMutexName(). Затем вредоносная программа проверяет, запущен ли исполняемый файл из папки %appdata% или нет. Если нет, он копирует себя в папку %appdata% под именем "AvastSecurity.exe" и запускает его с помощью "cmd.exe".
C:\Users\[Redacted]\AppData\Roaming\Adobe\AvastSecurity.exe
Если исполняемый файл запущен из каталога %appdata%, он создает новый мьютекс с форматом "sm:<идентификатор текущего процесса>". Приведенный ниже фрагмент кода демонстрирует, как создается мьютекс и сбрасывается копия исполняемого файла.
После создания мьютекса вредоносная программа использует функцию RegisterScheduledTask() для создания записи в планировщике задач для своей копии, которая была сброшена в папку %appdata%. Это обеспечивает постоянство, позволяя вредоносной программе продолжать работу даже после перезагрузки системы. На рисунке ниже показана запись в планировщике задач, созданная вредоносной программой.
После установления постоянства через запись в планировщике задач файл "AvastSecurity.exe" собирает куки, данные автозаполнения и входа в систему жертвы, вызывая функцию Grab(). Эта функция использует методы CookieRecovery(), AutofillRecovery() и PassRecovery() для сбора этой информации из установленных браузеров Chromium на системе жертвы.
Наконец, вредоносная программа YouTube bot вызывает метод YoutubePlaywright.Start(), передавая ранее упомянутые аргументы, а также путь к браузеру Chrome и информацию о cookie для просмотра указанного видео. Cookie включается в качестве аргумента, чтобы имитировать просмотр видео реальным пользователем и обойти любые меры безопасности или ограничения, которые могут быть установлены. На рисунке ниже показан фрагмент кода функции YoutubePlaywright вместе с параметрами вредоносной программы.
Вредоносная программа подключается к командно-контрольному серверу (C&C) с помощью функции ConnectToServer() и передает IP, порт и Webclient в качестве аргумента. Затем эта функция вызывает функцию OnServerMessageReceived() для получения команд от сервера C&C.
C&C-сервер использует следующие команды для управления вредоносной программой.
- "selfDestruct" - эта команда заставляет вредоносное ПО удалить запись запланированной задачи и завершить собственный процесс.
- "getLog" - эта команда направляет вредоносное ПО на отправку файла журнала на C&C-сервер. Лог-файл содержит такую информацию, как версия бота, подробности о просмотрах (были ли они завершены или провалены), статус соединения с сервером и так далее.
- "downloadAndRun" - Эта команда заставляет вредоносную программу скачивать и выполнять другие файлы.
- "stopView" - эта команда направляет вредоносную программу на прекращение просмотра видео на YouTube.
- "view" - эта команда направляет вредоносную программу на запуск просмотра видео на YouTube.
В целом, использование ботов на YouTube может быть заманчивым способом для создателей контента повысить свои рейтинги и привлечь более широкую аудиторию на платформе. Однако использование ботов обычно считается нечестным и может противоречить условиям обслуживания YouTube. Кроме того, использование ботов на YouTube сопряжено с риском, поскольку они могут быть обнаружены и привести к приостановке или прекращению действия учетной записи пользователя.
В данном случае The Threat Actors (TAs) используют настроенных ботов YouTube для увеличения количества лайков, комментариев и просмотров своих видео на YouTube. Бот YouTube также способен похищать конфиденциальную информацию жертв, такую как файлы cookie, данные автозаполнения, логины и пароли. Кроме того, он получает команды с C&C-сервера и может загружать и исполнять дополнительные вредоносные файлы на машине жертвы.
Indicators of Compromise
SHA256
- 2062f480625832da7c3fa81456a73514194c932009b2038eef430cb48eeba014
- 28abffc332adbe6d0611ad64e8578e77d6da1e71d20afe9ba44a92ace61ccbf3
- 394a707846cc908581190f8fd7c061203b340c942eb90bfc6073836a9d3a189a
- 3fb6074f025e43b154f61650f4f4e82b21a9328954772811b1fb579673e89c6b
- 68fb648e718b40ab00c422dbf70e1a3175d3834a22d9f6c8b4b376635c9bb595
- 70ca93c25b0de9b7b42739c1397e98fef0f3123fd3ed26acef84fe1b4a8cc2e9
- 792095ac7aa865779dcd51094fbbf8f57f83f3a47750a28527062dd74a315bb5
- 991d703c1bb1be43c27b6b6ffc2ee95f02f3c7b64a8ec07ccb9dee718f0ba836
- b4098728c160f6637ea33a66cdb4a518857e5ec8a60134b97f48cbc56475acc0
- c8f700ce6babe369b6fb6cf747a21aa7a7ed6e3c20a84998094b91e23413c0bc
- db9971c25d88a57ad218cb675107b6a03f023616364f1646eca2b14401baecba
- e9dac8b677a670e70919730ee65ab66cc27730378b9233d944ad7879c530d312