日前有駭客利用 YouTube 影片來誘騙受害者下載一個專門竊取資訊的木馬程式,叫做「Predator the Thief」(趨勢科技命名為 TrojanSpy.MSIL.PREDATOR.AA)。在這起由研究人員所發現的案例當中,歹徒利用網路影片來推銷某個宣稱可以產生比特幣錢包位址私密金鑰的工具。事實上,這些影片只不過是歹徒用來誘騙使用者下載 Predator the Thief 木馬程式的誘餌,目的是要偷取被感染系統上的資訊和密碼。
詐騙流程
歹徒先將影片上傳到 YouTube 來推銷所謂的比特幣錢包位址私密金鑰產生器,換句話說,有了此工具,使用者就可以取得錢包內的比特幣。其中有些影片是由一名叫做「Crypto World」的使用者所上傳,這些影片點閱數已經超過數百。
這些影片底下的說明所附的 Yandex、Google Drive 及 MediaFire 連結,就是木馬程式的下載位址。使用者會下載到一個名為「Crypto World.zip」的壓縮檔,裡面解開之後有一個「setup.exe」檔案。該檔案包含了一個密碼保護的 ZIP 檔案,內容就是 Predator the Thief 的執行檔。
根據 Bleeping Computer 的分析指出,這個「setup.exe」程式會解出一個名為「license.exe」的檔案到「.\language\templates\temp」資料夾,接著執行 license.exe 檔案。該檔案執行後就會在受害電腦上安裝並執行 Predator the Thief。一旦 Predator the Thief 開始執行,就會和幕後操縱 (C&C) 伺服器連線,進而下載其他元件和惡意程式。除此之外,還會將蒐集到的資訊傳回給歹徒。
Predator the Thief 除了竊取密碼之外,也會從受害電腦上竊取一些檔案 (包括複製剪貼簿上的內容),並利用電腦的網路攝影機暗中錄影。
資安建議
要防範像 Predator the Thief 這樣的資訊竊盜程式,使用者務必從官方網站及值得信賴的應用程式商店下載軟體與應用程式。萬一不幸感染了這項威脅,建議使用者應該立即變更所有網路金融帳號、網站、聊天室以及遊戲等帳號的密碼。
使用者也可安裝一套趨勢科技 PC-cillin來保護自己,該產品每天在全球攔截超過 2.5 億次以上的威脅。它採用機器學習技術並搭配其他防護層來防範各種網站威脅、惡意程式、網路銀行/購物網站威脅,以及其他不斷演變的威脅。