Se está llevando a cabo una campaña de phishing y transmisión de malware a través de YouTube. Esta forma de ataque puede parecer nueva, pero si se considera con cuidado, es solo un método para engañar a las víctimas para que proporcionen información personal o accedan a enlaces maliciosos. Específicamente, los delincuentes publicarán videos para promover la herramienta de “creación de bitcoins”, prometiendo hacer que bitcoins sea gratuito para los usuarios. De hecho, esta estafa promueve el lanzamiento de un caballo de Troya (software espía) que roba información, llamado Qulab.
- Hacker ataca una ciudad de EE. UU. Exigiendo un rescate de $ 100,000 con Bitcoin
En una entrevista reciente con el sitio web de tecnología BleepingComputer, los investigadores de seguridad de Frost, que descubrieron una campaña de phishing, dijeron que rastrearon toda la actividad de la campaña en los últimos 15 días. Siempre que el equipo de Frost informa un error con respecto a videos de phishing y cuentas de carga de videos, YouTube los elimina rápidamente. Sin embargo, este enfoque parece un poco pasivo y no muy efectivo porque los chicos constantemente crean nuevas cuentas y actualizan y cargan nuevos videos maliciosos.
Más claramente sobre cómo funciona esta campaña de phishing: primero, el matón publicó una serie de videos promocionales para la herramienta llamada “herramienta de creación de bitcoins” de forma gratuita en YouTube, llegando a la psicología. curioso de los usuarios que no tienen mucho conocimiento sobre el mercado monetario virtual y la seguridad.
- Las herramientas de seguridad cibernética que toda empresa debe conocer
A continuación, en la descripción del video, los estafadores proporcionarán enlaces para descargar esta herramienta. Sin embargo, esto es en realidad un troyano, así como un enlace malicioso, que dirige a los usuarios a https://freebitco.in, como se muestra a continuación.
Al hacer clic en el enlace de descarga provisto en la descripción de estos videos, el usuario será dirigido a un sitio web, haciendo que el archivo Setup.exe esté disponible.
- El hacker ganó $ 32,000 en 7 semanas corrigiendo una serie de brechas en proyectos de dinero electrónico.
Si la víctima hace clic en el botón de descarga y ejecuta el archivo Setup.exe, significa que el caballo de Troya Qulab se instalará en su computadora.
Carga útil del software espía Qulab
En esta campaña de phishing, la carga útil distribuida es el troyano que secuestró información y secuestró el control llamado Qulab. Cuando se ejecuta, el troyano se copia a sí mismo en el archivo% AppData% amd64_microsoft-windows-netio -rastructuremsaudite.module.exe y arranca desde esta ubicación.
Según los expertos del foro de Fumko, después de instalarse con éxito en el sistema de destino, Qulab intentará robar el historial del navegador, guardar la información del navegador, las cookies del navegador y la información de inicio de sesión. guardado en FileZilla, la información de inicio de sesión de Discord e incluso la información de inicio de sesión de Steam. Al mismo tiempo, el troyano también contiene código malicioso diseñado para robar archivos .txt, .maFile y .wallet de las computadoras infectadas.
Finalmente, Qulab también actuará como portapapeles, o atacante del clipper, lo que significa que monitoreará el portapapeles de Windows en busca de ciertos datos y, cuando encuentre los datos para recopilar, continuará. Intercambiar con diferentes datos a los que apunta el atacante.
- Un gran mercado de la web negra acaba de ser destruido
En este caso específico, Qulab busca las direcciones de dinero electrónico que se copiaron en el portapapeles. En muchos casos, Qulab puede identificar la dirección a la que el usuario transfiere dinero e intercambiar esa dirección por otra bajo el control del atacante.
De hecho, las direcciones de dinero electrónico son extremadamente largas y difíciles de recordar, por lo que muchos usuarios no pueden recordar cómo copiaron el portapapeles. Entonces, cuando Qulab cambió la dirección de depósito inicial a la dirección maliciosa del atacante, el usuario ni siquiera lo sabía. Este método de ataque simple pero extremadamente efectivo permite a un atacante robar dinero electrónico engañando a los usuarios para que envíen dinero a sus direcciones rápidamente.
Según Fumko, Qulab solo admitirá las siguientes direcciones de moneda electrónica para el componente del clipper:
Bitcoin Bitcoin Money Bitcoin Gold Bytecoin Cardano Lisk Dash Doge Electron Ethereum Injerto Litecoin Monero Neo QIWI Qtum Vapor Trade Link Stratis VIA WME WMR WMU WMX WMZ Ondas Yandex Money ZCash
Al compilar datos robados, el troyano se los envía al atacante mediante Telegram, como se muestra a continuación:
- El alarmante aumento en el número de ataques dirigidos a dispositivos IoT
Si cree que su sistema ha sido infectado por este troyano, cambie inmediatamente todas las contraseñas de cualquier cuenta financiera y sitio web que visite. Por otro lado, también debería utilizar más administradores de contraseñas para crear contraseñas sólidas y únicas para cada cuenta de acceso importante.
dinero virtual dinero electrónico phishing ciberataque código malicioso troyano spyware bitcoin YouTube portapapeles
Se está realizando una campaña de phishing y transmisión de malware a través de YouTube. Esta forma de ataque puede parecer nueva, pero si se considera con cuidado, es solo un método para engañar a las víctimas para que proporcionen información personal o accedan a enlaces maliciosos. Específicamente, los delincuentes publicarán videos para promover la herramienta de “creación de bitcoins”, prometiendo hacer que bitcoins sea gratuito para los usuarios. De hecho, esta estafa promueve el lanzamiento de un caballo de Troya (software espía) que roba información, llamado Qulab.
- Hacker ataca una ciudad de EE. UU. Exigiendo un rescate de $ 100,000 con Bitcoin
En una entrevista reciente con el sitio web de tecnología BleepingComputer, los investigadores de seguridad de Frost, que descubrieron una campaña de phishing, dijeron que rastrearon toda la actividad de la campaña en los últimos 15 días. Cada vez que el equipo de Frost informa un error contra los videos de phishing y las cuentas de carga de videos, YouTube los elimina rápidamente. Sin embargo, este enfoque parece un poco pasivo y no muy efectivo porque los chicos constantemente crean nuevas cuentas, actualizan y cargan nuevos videos maliciosos.
Más claramente sobre cómo funciona esta campaña de phishing: primero, el matón publicó una serie de videos promocionales para la herramienta llamada “herramienta de creación de bitcoins” de forma gratuita en YouTube, llegando a la psicología. curioso de los usuarios que no tienen mucho conocimiento sobre el mercado monetario virtual y la seguridad.
- Las herramientas de ciberseguridad que toda empresa debe conocer
A continuación, en la descripción del video, los estafadores proporcionarán enlaces para descargar esta herramienta. Sin embargo, de hecho, es un troyano, además de un enlace malicioso, que dirige a los usuarios a https://freebitco.in, como se muestra a continuación.
Al hacer clic en el enlace de descarga provisto en la descripción de estos videos, el usuario será dirigido a un sitio web, haciendo que el archivo Setup.exe esté disponible.
- El hacker ganó $ 32,000 en 7 semanas corrigiendo una serie de brechas en proyectos de dinero electrónico
Si la víctima hace clic en el botón de descarga y ejecuta el archivo Setup.exe, significa que el caballo de Troya Qulab se instalará en la computadora.
Carga útil del software espía Qulab
En esta campaña de phishing, la carga útil distribuida es el troyano que secuestró información y secuestró el control llamado Qulab. Cuando se ejecuta, el troyano se copia a sí mismo en el archivo% AppData% amd64_microsoft-windows-netio -rastructuremsaudite.module.exe y arranca desde esta ubicación.
Según los expertos del foro de Fumko, después de instalarse con éxito en el sistema de destino, Qulab intentará robar el historial del navegador, guardar la información del navegador, las cookies del navegador y la información de inicio de sesión. guardado en FileZilla, la información de inicio de sesión de Discord e incluso la información de inicio de sesión de Steam. Al mismo tiempo, el troyano también contiene código malicioso diseñado para robar archivos .txt, .maFile y .wallet de las computadoras infectadas.
Por último, Qulab también actuará como portapapeles o atacante del clipper, lo que significa que supervisará el portapapeles de Windows en busca de ciertos datos y, cuando encuentre los datos para recopilar, continuará. Intercambiar con diferentes datos a los que apunta el atacante.
- Un gran mercado de la web negra acaba de ser destruido
En este caso específico, Qulab busca las direcciones de dinero electrónico que se copiaron en el portapapeles. En muchos casos, Qulab puede identificar la dirección a la que el usuario transfiere dinero e intercambiar esa dirección por otra bajo el control del atacante.
De hecho, las direcciones de dinero electrónico son extremadamente largas y difíciles de recordar, por lo que muchos usuarios no pueden recordar cómo copiaron el portapapeles. Entonces, cuando Qulab cambió la dirección de depósito inicial a la dirección maliciosa del atacante, el usuario ni siquiera lo sabía. Este método de ataque simple pero extremadamente efectivo permite a un atacante robar dinero electrónico engañando a los usuarios para que envíen dinero a sus direcciones rápidamente.
Según Fumko, Qulab solo admitirá las siguientes direcciones de moneda electrónica para el componente del clipper:
Bitcoin Bitcoin Money Bitcoin Gold Bytecoin Cardano Lisk Dash Doge Electron Ethereum Injerto Litecoin Monero Neo QIWI Qtum Vapor Trade Link Stratis VIA WME WMR WMU WMX WMZ Ondas Yandex Money ZCash
Al compilar datos robados, el troyano se los envía al atacante mediante Telegram, como se muestra a continuación:
- El alarmante aumento en el número de ataques dirigidos a dispositivos IoT
Si cree que su sistema ha sido infectado por este troyano, cambie inmediatamente todas las contraseñas de cualquier cuenta financiera y sitio web que visite. Por otro lado, también debería utilizar más administradores de contraseñas para crear contraseñas sólidas y únicas para cada cuenta de acceso importante.