Kaspersky: RedLine, lo stealer che prende di mira i gamer su YouTube

I ricercatori di Kaspersky hanno individuato un insolito bundle dannoso rivolto ai gamer su YouTube: una raccolta di programmi malevoli distribuiti sotto forma di un singolo file di installazione, archivio ad estrazione automatica o altro file con funzionalità installer-type. Il suo payload principale è RedLine stealer, uno dei Trojan più comuni utilizzati per rubare password e credenziali dai browser.

I criminali informatici vanno attivamente a caccia di account e risorse per computer utilizzati per il gioco. Come hanno osservato gli esperti di Kaspersky nella recente panoramica sulle minacce informatiche legate al gaming, il malware di tipo stealer viene spesso distribuito sotto le sembianze di hack di gioco, cheat e crack. Questa volta, i ricercatori hanno scoperto un altro tipo di attività dannosa: i cyber criminali hanno inserito bundle infetti sui canali YouTube delle vittime con la scusa di offrire contenuti legati al gioco, insieme a un link che rimanda a un archivio RAR auto estraente nella descrizione del video. L'archivio contiene diversi file dannosi, tra cui il famoso RedLine stealer.

RedLine è in grado di sottrarre nomi utente, password, cookie, dati di carte bancarie e autofill data da browser basati su Chromium e Gecko, dati da cryptowallet, programmi di messaggistica istantanea e client FTP/SSH/VPN, nonché file con estensioni particolari. Inoltre, RedLine può scaricare ed eseguire programmi di terze parti, lanciare comandi in cmd.exe e aprire link nel browser predefinito. Questa applicazione si diffonde in vari modi, tra cui e-mail di spam dannose e loader di terze parti.

Oltre al payload RedLine, il bundle scoperto è rilevante per la sua capacità di auto propagazione. Diversi file, presenti nel bundle descritto, ne sono responsabili: ricevono i video e li pubblicano sui canali YouTube degli utenti colpiti insieme a link che rimandano a un archivio protetto da password. I video promuovono cheat e crack, fornendo istruzioni sull'hacking di giochi e software popolari.

Tra i giochi coinvolti ci sono APB Reloaded, CrossFire, DayZ, Dying Light 2, F1 22, Farming Simulator, Farthest Frontier, FIFA 22, Final Fantasy XIV, Forza, Lego Star Wars, Osu!, Point Blank, Project Zomboid, Rust, Sniper Elite, Spider-Man, Stray, Thymesia, VRChat e Walken.

“I gamer sono una delle categorie più prese di mira dai criminali informatici. Questa volta gli attaccanti hanno usato contenuti legati al gioco d'azzardo come esca per rubare le credenziali delle vittime e per fare mining dai loro computer. Il nostro consiglio è di scegliere con cura le fonti per soddisfare la vostra voglia di gioco e di non scaricare archivi sospetti da account inaffidabili”, ha commentato Oleg Kupreev, Senior Security Researcher di Kaspersky.