El malware RedLine utiliza los canales de YouTube de sus víctimas para subir videos tutoriales maliciosos, mismos que muestran trucos falsos y brechas para videojuegos populares para propagarse e infectar aún más este paquete malicioso.
Este malware es de propagación automática y se ha promocionado mediante videos de YouTube, los cuales están dirigidos a jugadores fanáticos de la FIFA, Final Fantasy, Forza Horizon, Legó Star Wars y Spiderman.
Dicho malware atrae a sus víctimas prometiendo enlaces para descargar cracks y trucos falsos, pero la realidad es otra completamente diferente, ya que el mismo paquete de malware es el que llega a infectar.
Mediante un nuevo informe ofrecido por Kaspersky, investigadores encontraron un archivo RAR que contenía en su interior una gran colección de malware, sobre todo a RedLine.
Actualmente, este malware es altamente conocido por ser uno de los ladrones de información más distribuidos masivamente entre espectadores, en plataformas virtuales como YouTube.
RedLine es mundialmente conocido por ser un cóctel de malwares conocidos
RedLine puede robar toda tu información almacenada en tu navegador web, cómo lo es cookies, contraseñas de cuentas bancarias y tarjetas de créditos, acceder a tus conversaciones de mensajería y hasta comprometer tus billeteras de criptomonedas.
Además de esto, se incluye un archivo RAR aprovechando al máximo la tarjeta gráfica de la víctima, la cual es probable que tenga ya que se encuentra viendo videos de juegos en YouTube, extrayendo criptomonedas para los atacantes.
Para lograr permanecer desapercibida, hace uso de la utilidad Nirsoft NirCmd en el paquete, la cuál se conoce cómo «nir.exe» cuando se ejecuta, todos y cada uno de los ejecutables se ocultan y no generan ventanas en la interfaz.
Tampoco ningún icono en la barra de tareas del ordenador de la víctima, por lo que todo los procesos que lleva a cabo RedLine permanecen ocultos para la víctima, la cuál continúa como si no pasara absolutamente nada.
Se debe de tener en cuenta que los ejecutables y las infecciones empaquetadas, no son para nada interesantes y los actores de estas amenazas los usan generalmente en otras muchas campañas de distribución de malware.
Este malware se autopropaga libremente en YouTube hasta la fecha
Kaspersky también descubrió un mecanismo de autopropagación algo inusual e interesante, el cual se encuentra escondido en el archivo que permite a dicho malware propagarse a miles de otras víctimas de internet.
Para ser un poco más específicos, el RAR posee archivos por lotes que ejecutan tres ejecutables altamente maliciosos, que llevan a cabo la autopropagación del paquete, los cuáles son:
- MaKiseKurisu.exe
- Download.exe
- Upload.exe
El primero de ellos MaKiseKurisu.exe, es una versión actual modificada de un ladrón de contraseñas, que se usa únicamente para poder extraer más cookies de los navegadores y almacenarlas localmente.
Download.exe por su parte, se usa para descargar un vídeo de YouTube, que vendría siendo una copia de los vídeos que promocionan dicho paquete malicioso.
Los vídeos se proceden a descargar de enlaces que han sido obtenidos de un repositorio de GitHub, para así lograr evitar apuntar a la URL de videos que se informaron y eliminaron de YouTube.
Finalmente tenemos a Upload.exe, el cuál se usa para cargar todos los videos que promueven a RedLine en YouTube; usando las cookies robadas para poder iniciar sesión en la cuenta de Youtube de la víctima, y poder difundir el paquete de RedLine a través de su canal.
Kaspersky detrás de los pasos de este cóctel de malware
Download.exe hace uso de la biblioteca Pupperteer Node, que ofrece una API de muy alto nivel para poder administrar Chrome y Microsoft Edge, haciendo uso del protocolo DevTools, según Kaspersky en su informe.
Cuando el vídeo se carga correctamente en YouTube, Download.exe procede a enviar un mensaje a Discord con un enlace de vídeo previamente cargado.
Si bien el actor de la amenaza recibe toda la información sobre esta nueva carga, es para nada probable que la víctima (propietario del canal), se dé cuenta que su canal está siendo usado para promocionar malware en YouTube.
Cabe mencionar, que este método tan agresivo de distribución hace que el escrutinio y las eliminaciones por parte de YouTube sean cada vez más difíciles, ya que los vídeos apuntan a descargas maliciosas teniendo en cuenta que poseen un historial limpio desde hace tiempo.
¿Qué te ha parecido este nuevo cóctel de malware denominado RedLine? No hay duda alguna que YouTube es su actual y más grande centro de actividades e infección.
