Видеохостинг RuTube стал площадкой для распространения троянских программ и стилеров под видом бесплатных читов для популярной игровой платформы Roblox. Особую обеспокоенность экспертов вызывает тот факт, что основная целевая аудитория этой схемы - дети, составляющие большую часть пользователей Roblox. Это делает их уязвимыми для кибератак, а также подвергает риску финансовые данные и личную информацию их семей.
Описание
RuTube, российская альтернатива YouTube, принадлежащая «Газпром-Медиа», давно известен не только пользовательским контентом. Однако последнее время на платформе наблюдается всплеск активности, связанной с Roblox. Множество видеороликов рекламируют так называемые «исполнители» и «инжекторы» - инструменты для взлома и модификации игровой среды. Эти видео, часто содержащие захваты игрового процесса с демонстрацией возможностей читов, призывают зрителей перейти по ссылкам в описании для загрузки обещанного ПО.
Исследовательская группа Open Measures решила проверить, насколько безопасны файлы, распространяемые через такие видео. Для этого был проведён выборочный анализ. Поисковый запрос, сочетающий русскоязычные и англоязычные названия читов, выявил множество соответствующих роликов. Из случайной выборки из десяти видео было отобрано шесть уникальных файлов, доступных для загрузки. Каждый файл был загружен в сервис VirusTotal для проверки десятками антивирусных движков.
Результаты оказались тревожными. Четыре из шести проанализированных файлов были единогласно признаны вредоносными множеством антивирусных решений. Только два образца не вызвали подозрений у систем безопасности, причём один из них распространялся через сайт с навязчивыми всплывающими окнами, что само по себе является признаком компрометированной или небезопасной платформы.
Более детальный анализ показал, что вредоносные файлы относятся к категории троянских программ. Они маскируются под легитимные читы для Roblox, но при запуске выполняют скрытые вредоносные функции. В частности, антивирусные движки идентифицировали их как «стилеры» - специализированное ПО для кражи конфиденциальных данных. Например, один из образцов был определён как «Salat Stealer». Такие программы могут незаметно похищать логины и пароли, данные банковских карт, файлы cookie, ключи API и другую ценную информацию с устройства жертвы.
Эта схема представляет собой раннюю стадию киберпреступного пайплайна. Впоследствии украденные данные часто продаются на теневых форумах и в Telegram-каналах. Таким образом, злоумышленники, размещающие ссылки на RuTube, фактически занимаются первоначальным сбором информации для её дальнейшей монетизации.
Ситуация усугубляется низким уровнем осведомлённости целевой аудитории. Пользователи Roblox, значительную часть которых составляют дети и подростки, могут не до конца осознавать риски, связанные с загрузкой неофициального ПО из непроверенных источников. Кроме того, они с большей вероятностью могут совершить ошибку, например, использовать пароль от учётной записи родителей, сохранённой на устройстве. Это подвергает риску безопасность всей семьи.
Из четырёх обнаруженных вредоносных файлов только один был связан с видео, остававшимся в открытом доступе на момент исследования. Остальные три уже были удалены, однако каналы, которые их размещали, продолжали работу. Яркий пример - канал «Moryak Team», который публиковал два из исследуемых вредоносных образцов. На момент написания материала этот канал был активен и даже выпустил новое видео, предлагающее обойти недавний запрет Roblox в России. В описании к этому ролику также содержится ссылка на один из ранее выявленных вредоносных файлов.
Введение запрета на Roblox в России, изменит ландшафт распространения подобного вредоносного контента, однако предсказать точные последствия сложно. Как показывает пример «Moryak Team», злоумышленники уже адаптировались к новым условиям, используя интерес к обходу блокировки как новую приманку для потенциальных жертв. Следовательно, сохраняется острая необходимость в повышении цифровой грамотности, особенно среди молодой аудитории. Пользователям, особенно детям и их родителям, следует проявлять крайнюю осторожность и избегать загрузки любого ПО из непроверенных источников, какими бы заманчивыми ни были обещания.
Индикаторы компрометации
SHA256
- 0e6a791aaf1de1e4d9befe2a1da50b4a52c2ed1bd453edd3ffd5226df29e4e06
- 1f6b218958801ad20e06cda947fd1010e3eb5ddb6361bf53e619fac9bf6d909e
- 3688a03766109f966bc31c91c11d305b072099d2ae1c63f9a5c4034e4bb37ef6
- 423c30a05ccd3675c60fccc4a6c6bd759c882d01097a267bd051e03995c528e5
- e43cdf862e1153a6b05a0d4aa22a22897e34252d625cee370b5b67c224139ea8
- fd2a374c2b208295c3b582e7caa2eb65479348d4f34016dcb61ee8dc34894755
