新的恶意软件包针对游戏玩家，利用YouTube频道传播

一个新的恶意软件包，针对一些玩 FIFA、Forza Horizon、乐高星球大战和蜘蛛侠等游戏玩家，利用YouTube频道恶意视频教程，宣传流行游戏的破解方法。在这些上传的视频中包含了下载破解和作弊器的链接，实际上，受害者安装的是能够自我传播的恶意软件包。

RedLine恶意软件

在卡巴斯基的一份新报告中，研究人员发现了一个包含恶意软件集合的 RAR 存档，其中最著名的是 RedLine，这是目前最大规模传播的信息窃取者之一。RedLine 可以窃取cookie、帐户密码和信用卡，访问即时通讯对话等存储在受害者网络浏览器中的信息，并且还能破坏加密货币钱包。

此外，RAR 存档中包含一个矿工，利用受害者的显卡（他们在 YouTube 上观看游戏视频时很可能拥有该显卡）为攻击者挖掘加密货币。由于捆绑包中名为“nir.exe”的合法 Nirsoft  NirCmd 实用程序，当启动时，所有可执行文件都将被隐藏，并且不会在界面或任何任务栏图标中生成窗口，因此受害者很难发现这些情况。

在 YouTube 上自我传播的RedLine

卡巴斯基在存档中发现了一种不寻常且有趣的自我传播机制，该机制允许恶意软件自我传播给互联网上的其他受害者。具体来说，RAR 包含运行三个恶意可执行文件的批处理文件，即“MakiseKurisu.exe”、“download.exe”和“upload.exe”，它们执行捆绑包的自我传播。

RAR 中包含的文件 (Kaspersky)

1、MakiseKurisu，是广泛使用的 C# 密码窃取程序的修改版本，仅用于从浏览器中提取 cookie 并将其存储在本地。

2、可执行文件“download.exe”用于从 YouTube 下载视频，该视频是宣传恶意包的视频的副本。这些视频是从从 GitHub 存储库获取的链接下载的，以避免指向已从 YouTube 报告和删除的视频 URL。

3、“upload.exe”用于将恶意软件宣传视频上传到 YouTube，使用被盗的 cookie 登录受害者的 YouTube 帐户并通过他们的频道传播捆绑包。

卡巴斯基在报告中表示，“[upload.exe] 使用 Puppeteer Node 库，它提供了一个高级 API，用于使用 DevTools 协议管理 Chrome 和 Microsoft Edge”。视频成功上传到 YouTube 后，upload.exe 会向 Discord 发送一条消息，其中包含上传视频的链接。

生成 Discord 通知 （卡巴斯基）

YouTube频道所有者在平台上如何不是很活跃，他们可能不会意识到自己在 YouTube 上宣传恶意软件。这种激进的分发方法使 YouTube 上的审查和删除变得更加困难。

如何防止恶意软件攻击?

1、更新您的设备，操作系统，插件程序，浏览器至最新版本；

2、设置强而独特的密码；

3、设置账户访问权限；

4、不随意下载软件，不要点击不明的网址链接；

5、安装防病毒软件和防恶意软件工具；

6、加强网络安全意识培训。

完全避免恶意软件是不可能的，在平时的工作生活中，要加强网络安全意识，在最大程度上避免恶意软件攻击。因此做好安全防范措施，加强网络安全防御十分重要。