RedLine, el troyano utilizado en Youtube

RedLine, uno de los troyanos más utilizados para robar credenciales, cookies, criptocarteras, tarjetas de crédito. También puede ejecutar código y aplicaciones de terceros. Está siendo utilizado en la plataforma de contenido más grande, Youtube para distribuir en videos atractivos a través de archivos adjuntos en la descripción. Los videos atraen a personas que buscan parches o como piratear videojuegos y software populares. Los títulos más demandados y usados son: APB Reloaded, CrossFire, DayZ, Dying Light 2, F1® 22, Farming Simulator, Farthest Frontier, FIFA 22, Final Fantasy XIV, Forza, Lego Star Wars, Osu!, Point Blank, Project Zomboid, Rust, Sniper Elite, Spider-Man, Stray, Thymesia, VRChat y Walken.

Los adjuntos en el RAR

A parte de contener a RedLine, podemos ver otros archivos maliciosos y una secuencia de comandos la cual ejecuta automáticamente el contenido descomprimido.

Los archivos ejecutables que podemos encontrar son los siguientes:

– Cool.exe – se trata del RedLine

– ***.exe – que sería el minero

– AutoRun.exe – se copia en el directorio %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup

El ejecutable ***.exe, se trata, como ya se ha mencionado anteriormente del minero, este ejecutable aprovecha las tarjetas gráficas de las víctimas.

AutoRun.exe, lo que asegura es el inicio automático y ejecuta los restantes ejecutables por lotes que se encuentran que sería MakiseKurisu.exe, dowload.exe y upload.exe, realizando la distribución de los paquetes automáticamente. Además, uno de ellos ejecuta nir.exe, permitiendo así la ejecución de archivos maliciosos sin mostrar la ventana ni icono en la barra de tareas.

MakiseKurise.exe, es el ladrón de contraseñas escrito en C# y modificado para las características del ataque. Esto es utilizado para robar las credenciales de la cuenta de Youtube, utilizar download.exe para obtener el vídeo con toda la descripción y usar upload.exe para subir otro vídeo infectado desde la cuenta de la víctima.

IoC:

MD5 hashes

32dd96906f3e0655768ea09d11ea6150
1d59f656530b2d362f5d540122fb2d03
6ebe294142d34c0f066e070560a335fb
64b4d93889661f2ff417462e95007fb4
b53ea3c1d42b72b9c2622488c5fa82ed
ac56f398a5ad9fb662d8b04b61a1e4c5
f80abd7cfb638f6c69802e7ac4dcf631
e59e63cdaec7957e68c85a754c69e109
9194c2946e047b1e5cb4865a29d783f4
f9d443ad6937724fbd0ca507bb5d1076
7cd4f824f61a3a05abb3aac40f8417d4

Vínculos a archivos comprimidos con el paquete original

hxxps://telegra[.]ph/2022-July-07-27
hxxps://telegra[.]ph/DayZ-Eazy-Menu-06-24
hxxps://telegra[.]ph/Cossfire-cheat-06-24
hxxps://telegra[.]ph/APB-Reloaded-hack-05-29
hxxps://telegra[.]ph/Forza-Horizon-5-Hack-Menu-07-13
hxxps://telegra[.]ph/Point-Blank-Cheat-05-29
hxxps://telegra[.]ph/Project-Zomboid-Private-Cheat-06-26
hxxps://telegra[.]ph/VRChat-Cheat-04-24