Ladrón que se autopropaga ataca a jugadores a través de YouTube

UPD: se agregó un aviso sobre la respuesta de Google al problema.

Recientemente, nos llamó la atención un paquete malicioso inusual (un conjunto de programas maliciosos distribuido en forma de un único archivo de instalación, de extracción automática u otro archivo con funcionalidad de instalación). Su principal carga es el ladrón popular RedLine. Descubierto en marzo de 2020, RedLine es actualmente uno de los troyanos más comunes utilizados para robar tanto contraseñas como credenciales de navegadores, clientes FTP y servicios de mensajería de escritorio. Está disponible abiertamente en foros clandestinos de piratas informáticos por unos pocos cientos de dólares, un precio relativamente bajo para el malware.

El ladrón puede robar nombres de usuarios, contraseñas, cookies, detalles de tarjetas bancarias, datos de llenado automático de navegadores basados en Chromium y Gecko, datos de criptobilleteras y clientes de servicios de mensajería instantánea y FTP/SSH/VPN, así como archivos con extensiones particulares de los dispositivos. Además, RedLine puede descargar y ejecutar programas de terceros, ejecutar comandos en cmd.exe y abrir vínculos en el navegador predeterminado. El ladrón se propaga de varias maneras, incluso a través de correos electrónicos no deseados maliciosos y cargadores de terceros.

El paquete: lo que incluye además de RedLine

Además de la carga propiamente dicha, el paquete descubierto es notable por su funcionalidad de autopropagación. Son varios los archivos responsables, que reciben videos y los publican en los canales de YouTube de los usuarios infectados junto con vínculos a un archivo comprimido protegido con contraseña que tiene el paquete en la descripción. Los videos anuncian trucos y parches, y brindan instrucciones sobre cómo piratear juegos y software populares. Entre los juegos mencionados, se incluyen los siguientes: APB Reloaded, CrossFire, DayZ, Dying Light 2, F1® 22, Farming Simulator, Farthest Frontier, FIFA 22, Final Fantasy XIV, Forza, Lego Star Wars, Osu!, Point Blank, Project Zomboid, Rust, Sniper Elite, Spider-Man, Stray, Thymesia, VRChat y Walken. Según Google, los canales pirateados se dieron de baja rápidamente por infringir sus Normas de la Comunidad.

Ejemplos de videos que difunden el paquete

El paquete original es un archivo RAR autoextraíble que contiene varios archivos maliciosos, utilidades limpias y una secuencia de comandos para ejecutar automáticamente el contenido descomprimido. Debido al vocabulario inapropiado que utilizaron los creadores del paquete, tuvimos que ocultar los nombres de algunos archivos.

Contenido del archivo autoextraíble

Inmediatamente después de descomprimir, se abren tres archivos ejecutables: cool.exe, ***.exe y AutoRun.exe. El primero es el ladrón RedLine mencionado anteriormente. El segundo es un minero, lo que tiene sentido ya que el público principal, según el video, son los jugadores (que probablemente tengan tarjetas de video instaladas que pueden usarse para la minería). El tercer archivo ejecutable se copia automáticamente en el directorio %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup, lo que garantiza el inicio automático y ejecuta el primero de los archivos por lotes.

Los archivos por lotes, a su vez, ejecutan otros tres archivos maliciosos: MakiseKurisu.exe, download.exe y upload.exe. Estos son los archivos responsables de la distribución automática del paquete. Además de eso, uno de los archivos por lotes ejecuta la utilidad nir.exe, que permite iniciar archivos ejecutables maliciosos sin mostrar ninguna ventana ni icono en la barra de tareas.

Contenido del primer y segundo archivo por lotes

El archivo download.exe tiene un tamaño impresionante de 35 MB. Sin embargo, es básicamente un cargador regular cuya finalidad es descargar videos para subirlos a YouTube, así como archivos con el texto de descripción y vínculos al archivo malicioso. El archivo ejecutable es grande porque es un intérprete de NodeJS que está unido tanto a las secuencias de comandos como a las dependencias de la aplicación principal. El malware toma los vínculos de descarga de archivos de un repositorio de GitHub. En las últimas modificaciones, se descarga un archivo comprimido 7-Zip con videos y descripciones organizados en directorios. El archivo se descomprime con la versión de consola de 7-Zip, que está incluida en el paquete.

Contenido del archivo comprimido 7-Zip

MakiseKurisu.exe es un ladrón de contraseñas desarrollado en C# y modificado para satisfacer las necesidades de los creadores del paquete. Probablemente, se tomó como base el código fuente de GitHub: el archivo contiene muchas funciones estándar de robo que no se usan de ninguna manera. Estas incluyen buscar un depurador y un entorno virtual, enviar información sobre el sistema infectado a los servicios de mensajería instantánea y robar contraseñas.

Entonces, ¿cuáles permanecen igual y qué implican los cambios? La única función operativa en MakiseKurisu.exe es la de extraer cookies de los navegadores y almacenarlas en un archivo separado sin enviar los datos robados a ninguna parte. Es precisamente a través de las cookies que el paquete obtiene acceso a la cuenta de YouTube del usuario infectado, donde sube el video.

El último archivo malicioso en el paquete es upload.exe, que sube a YouTube el video previamente descargado mediante download.exe. Este archivo también está desarrollado en NodeJS. Utiliza la biblioteca de nodos Puppeteer, que proporciona una interfaz de programación de aplicaciones (API) de alto nivel para administrar Chrome y Microsoft Edge mediante el protocolo DevTools. Cuando el video se sube correctamente a YouTube, upload.exe envía un mensaje a Discord con un vínculo al video cargado.

Código para subir videos

Código para enviar notificación a Discord

Conclusión

Los ciberdelincuentes buscan activamente cuentas de juegos y recursos informáticos para juegos. Como señalamos en nuestra descripción general de amenazas cibernéticas relacionadas con los juegos, el malware ladrón suele difundirse bajo la apariencia de piratería, trucos y parches de juegos. El paquete de autopropagación con RedLine es un excelente ejemplo de esto: los ciberdelincuentes atraen a las víctimas con anuncios de parches y trucos, así como también con instrucciones sobre cómo piratear juegos. Al mismo tiempo, la funcionalidad de autopropagación se implementa mediante un software relativamente poco sofisticado, como un ladrón de código abierto personalizado. Todo esto es una prueba más, si es que se necesita alguna, de que el software ilegal debe tratarse con extrema precaución.

Indicadores de compromiso (IoC)

MD5 hashes
32dd96906f3e0655768ea09d11ea6150
1d59f656530b2d362f5d540122fb2d03
6ebe294142d34c0f066e070560a335fb
64b4d93889661f2ff417462e95007fb4
b53ea3c1d42b72b9c2622488c5fa82ed
ac56f398a5ad9fb662d8b04b61a1e4c5
f80abd7cfb638f6c69802e7ac4dcf631
e59e63cdaec7957e68c85a754c69e109
9194c2946e047b1e5cb4865a29d783f4
f9d443ad6937724fbd0ca507bb5d1076
7cd4f824f61a3a05abb3aac40f8417d4

Vínculos a archivos comprimidos con el paquete original
hxxps://telegra[.]ph/2022-July-07-27
hxxps://telegra[.]ph/DayZ-Eazy-Menu-06-24
hxxps://telegra[.]ph/Cossfire-cheat-06-24
hxxps://telegra[.]ph/APB-Reloaded-hack-05-29
hxxps://telegra[.]ph/Forza-Horizon-5-Hack-Menu-07-13
hxxps://telegra[.]ph/Point-Blank-Cheat-05-29
hxxps://telegra[.]ph/Project-Zomboid-Private-Cheat-06-26
hxxps://telegra[.]ph/VRChat-Cheat-04-24

Vínculos a GitHub
hxxps://github[.]com/AbdulYaDada/fdgkjhfdguoerldifgj
hxxps://raw.githubusercontent[.]com/AbdulYaDada/fdgkjhfdguoerldifgj/

RedLine C2
45.150.108[.]67:80