Proofpoint vs. Abnormal

Hackers Distribuem Malware através de Cracks (modificações ilegais) de Videogame no YouTube

Share with your network!

Principais destaques

  • A Proofpoint identificou vários canais do YouTube que estão distribuindo malware ao promoverem jogos crackeados e pirateados, além de outros conteúdos relacionados.
  • As descrições dos vídeos incluem links que levam ao download de ladrões de informações.
  • A atividade provavelmente tem como alvo usuários domésticos que não possuem os benefícios de segurança de nível empresarial em seus computadores pessoais.

Visão Geral

Os atores de ameaças frequentemente visam usuários domésticos porque estes não possuem os mesmos recursos ou conhecimento para se defenderem de ataques em comparação com as empresas. Embora o ganho financeiro possa não ser tão grande quanto os ataques realizados contra corporações, as vítimas individuais provavelmente ainda possuem dados como cartões de crédito, carteiras de criptomoedas e outras informações pessoais identificáveis (PII) armazenadas em seus computadores, o que pode ser lucrativo para os criminosos.

A Proofpoint Emerging Threats observou malware de roubo de informações, incluindo Vidar, StealC e Lumma Stealer, sendo entregues via YouTube disfarçados de software pirateado e cracks de videogames. Os vídeos alegam mostrar ao usuário final como baixar software ou atualizar videogames gratuitamente, mas o link nas descrições dos vídeos leva ao malware. Muitas das contas que hospedam vídeos maliciosos parecem estar comprometidas ou adquiridas de usuários legítimos, mas os pesquisadores também observaram contas provavelmente criadas e controladas pelos próprios hackers, ativas por apenas algumas horas e criadas exclusivamente para distribuir malware. Pesquisadores já publicaram detalhes sobre vídeos falsos de software crackeado usados para distribuir malware.

O método de distribuição é particularmente notável devido ao tipo de videogames que os atores de ameaças parecem promover. Muitos deles parecem ser direcionados a usuários mais jovens, incluindo jogos populares entre crianças, um grupo que é menos provável de identificar conteúdo malicioso e comportamentos online arriscados.

Durante nossa investigação, a Proofpoint Emerging Threats relatou mais de duas dúzias de contas e vídeos distribuindo malware ao YouTube, que removeu o conteúdo.

Exemplo de Conta

A seguir, um exemplo de uma conta suspeita de estar comprometida (ou potencialmente vendida para um novo “criador de conteúdo”) usada para distribuir malware. Indicadores de uma conta suspeita de estar comprometida ou adquirida incluem grandes intervalos de tempo entre os vídeos postados, conteúdo que difere significativamente dos vídeos publicados anteriormente, diferenças nos idiomas e descrições dos vídeos contendo links possivelmente maliciosos, entre outros indicadores.

A conta possui cerca de 113.000 inscritos e exibe uma marca de seleção cinza, indicando que o proprietário da conta atendeu aos requisitos de verificação do canal, incluindo a verificação de sua identidade.

Figure 1

Exemplo de uma Conta Verificada no YouTube com Muitos Seguidores, Suspeita de Estar Comprometida

Quando os pesquisadores da Proofpoint identificaram a conta, a maioria dos vídeos da conta havia sido postada há um ano ou mais, e todos tinham títulos escritos em tailandês. No entanto, quando a conta foi identificada, doze (12) novos vídeos em inglês haviam sido postados em um período de 24 horas, todos relacionados a jogos de vídeo populares e cracks de software. Todas as novas descrições dos vídeos incluíam links para conteúdo malicioso. Alguns dos vídeos tinham mais de 1.000 visualizações, possivelmente aumentadas artificialmente por boots para fazer com que os vídeos parecessem mais legítimos.

Figure 2

Captura de tela de uma conta do YouTube suspeita de estar comprometida distribuindo malware comparando datas de upload.

Em um exemplo, um vídeo supostamente continha um aprimoramento de personagem para um videogame popular com um link do MediaFire na descrição. A URL do MediaFire levava a um arquivo protegido por senha (Setup_Pswrd_1234.rar) contendo um executável (Setup.exe) que, se executado, baixava e instalava o malware Vidar Stealer.

O vídeo foi enviado para a conta suspeita de estar comprometida sete (7) horas antes de nossa investigação. Na mesma época em que o vídeo foi postado, vários comentários pretendiam atestar a legitimidade do crack do software. É provável que essas contas e comentários tenham sido criados pelo remetente do vídeo ou por seus colaboradores para dar autenticidade ao link malicioso.

Figure 3

Descrição do vídeo contendo uma URL do MediaFire que leva ao Vidar Stealer.

Figure 4

Comentários no vídeo com o objetivo de confirmar a legitimidade do URL.

Em outro exemplo de um vídeo enviado para uma conta diferente, a descrição do vídeo era mais detalhada. A descrição continha um URL malicioso do MediaFire que também levava ao Vidar Stealer, bem como algumas dicas adicionais. Este é um exemplo comum que inclui instruções sobre como desabilitar o Windows Defender ou outros produtos de antivírus. O criador do vídeo promete que os “arquivos estão completamente limpos”, o que inspira muita confiança (sarcasmo)!

Figure 5

Captura de tela da descrição de um vídeo que inclui instruções para desativar o antivírus.

Falsificação da Empress

A Proofpoint identificou vários vídeos que alegam distribuir cracks de videogames da Empress. A Empress é uma entidade bem conhecida na comunidade de pirataria de software. Em um exemplo, um usuário alegava distribuir conteúdo crackeado de "League of Legends" na plataforma de compartilhamento de vídeos. A descrição do vídeo continha uma URL do Telegram que levava a uma postagem com instruções sobre como baixar o conteúdo e uma URL do MediaFire que levava a um arquivo RAR contendo um executável. O arquivo foi nomeado como "empress.exe" para parecer que vinha do recurso popular de pirataria de software e parecer "legítimo".

Figure 6

Descrição do YouTube publicidade empress.exe.

Figure 7

Link do Telegram no Vídeo da Empress

Os vídeos identificados usando os temas da “Empress” continham instruções visuais sobre como baixar e instalar o arquivo — que na verdade era o malware Vidar Stealer — para facilitar que a vítima seguisse as instruções.

Detalhes do Malware e Atividade de C2

Em todos os casos observados de distribuição de malware através de vídeos do YouTube contendo URLs do MediaFire para executáveis compactados e protegidos por senha, o arquivo .rar era pequeno, mas o payload descompactado sempre expandia para cerca de 800 MB. Isso pode indicar que há uma quantidade significativa de preenchimento no executável. Esta é uma técnica comum de evasão de antivírus/sandbox, pois muitas ferramentas não escanearão arquivos grandes.

Abrir o arquivo em um editor hexadecimal confirma esta avaliação, pois é possível ver uma quantidade significativa de bytes hexadecimais repetidos em uma boa parte do payload.

Figure 8

Bytes Repetidos Identificados em um Editor Hexadecimal

A detonação em sandbox revela que o payload é o Vidar. O Vidar utiliza redes sociais e fóruns comunitários para receber instruções de comando e controle (C2), incluindo Telegram, Steam Community e Tumblr. Em todos os casos, a conta C2 é criada com um nome de usuário ou descrição de conta contendo um conjunto de caracteres alfanuméricos seguido de um endereço IP terminando com um pipe vertical.

No exemplo do arquivo "empress.exe" identificado anteriormente, as amostras de C2 do Steam e do Telegram têm diferentes destinos de IP C2, mas compartilham o mesmo identificador inicial "got4a".

Figure 9

Perfil Steam C2.

Figure 10

Perfl do Telegram C2.

Depois que o endereço IP C2 foi recuperado, observamos a atividade padrão do Vidar/StealC C2 em três segundos.

Figure 11

PCAP de check-in do Vidar Stealer C2.

O uso de plataformas sociais para C2 pode permitir que o malware se esconda no tráfego da rede, já que as conexões a esses sites podem não parecer imediatamente suspeitas.

Distribuição do servidor Discord

Outro método de distribuição de carga útil por meio de descrições de vídeos do YouTube que difere dos URLs do MediaFire são os URLs do Discord. A Proofpoint observou os atacantes criando e gerenciando um servidor Discord que possui malware diferente para cada jogo. O link do Discord na descrição do vídeo direcionará os usuários a um canal do Discord que hospeda os arquivos disponíveis para download e inclui instruções sobre como baixá-los e instalá-los.

Figure 12

Descrição do vídeo do YouTube contendo um link do Discord.

Figure 13

O link leva a uma postagem do Discord do autor da ameaça.

Outra postagem no servidor Discord instrui os usuários a desabilitar o antivírus para baixar o cheat “truque de código” do jogo.

Figure 14

Instruções sobre como baixar um cheat de jogo, incluindo a desativação do antivírus.

Existem vários arquivos disponíveis para download no servidor Discord e estão associados a diferentes videogames. A postagem acima leva a “valoskin.zip”, um executável compactado que leva a malware. No final das contas, as cargas neste servidor entregaram o Lumma Stealer. Aqui está uma captura de tela de parte do tráfego C2 dos executáveis.

Figure 15

Tráfego Lumma C2 – detectado pelo SID de ameaças emergentes 2049836.

Notavelmente, o administrador do servidor Discord parece atualizar as cargas a cada poucas semanas.

Figure 15

Postagens do administrador do servidor Discord postando quando novos “cheats” são lançados.

Figure 17

Lista de Jogos “Suportados”

Conclusão

A Proofpoint observou vários grupos de atividades distintos distribuindo ladrões de informações via YouTube e não atribui a atividade a um ator ou grupo de ameaça rastreado. No entanto, as técnicas usadas são semelhantes, incluindo o uso de descrições de vídeo para hospedar URLs que levam a cargas maliciosas e fornecem instruções sobre como desativar antivírus, além de utilizar tamanhos de arquivo inflados para tentar contornar as detecções. Com base nas semelhanças do conteúdo dos vídeos, na entrega da carga útil e nos métodos de fraude, a Proofpoint avalia que os atores estão consistentemente visando usuários não empresariais.

No momento, a Proofpoint não tem visibilidade sobre como as contas identificadas do YouTube podem ter sido comprometidas. No entanto, o YouTube foi rápido em remover as contas denunciadas pela equipe de pesquisa da Proofpoint.

Os usuários finais devem estar cientes das técnicas usadas pelos hackers para induzir os usuários a se envolverem com conteúdo de videogame, com o objetivo de ajudá-los a trapacear ou ignorar funcionalidades pagas.