内容摘要：BleepingComputer网站披露，一个新的恶意软件包利用受害者YouTube频道宣传流行游戏的破解方法，这些上传的视频中包含了下载破解和作弊器的链接，但是受害者安装的却是能够自我传播的恶意软件

Bleeping Computer 网站披露 ，恶意一个新的软件恶意软件包利用受害者YouTube频道宣传流行游戏的破解方法，这些上传的包通播视频中包含了下载破解和作弊器的链接，但是视频受害者安装的却是能够自我传播的恶意软件包 。

据悉，自传恶意软件捆绑包已经在YouTube视频中广泛传播，恶意其针对的软件主要目标是一些玩 FIFA 、服务器租用Forza Horizon 、包通播乐高星球大战和蜘蛛侠等游戏的视频粉丝
。

恶意软件RedLine

卡巴斯基在一份报告中指出，自传研究人员发现一个 RAR 档案中包含了一系列恶意软件 ，恶意其中最引人注目的软件是 RedLine ，这是包通播目前最大规模传播的信息窃取者之一。

RedLine 可以窃取存储在受害者网络浏览器中的视频信息，例如 cookie、自传账户密码和信用卡 ，还可以访问即时通讯工具的云计算对话，并破坏加密货币钱包。

除此之外，RAR 档案中还包括一个矿工，利用受害者的显卡为攻击者挖掘加密货币
 。

由于捆绑文件中合法的 Nirsoft NirCmd 工具 nir.exe ，当启动时 ，所有的可执行文件都会被隐藏，不会在界面上生成窗口或任何任务栏图标，所以受害者很难发现这些情况 。

YouTube上自我传播的RedLine

值得一提的是源码下载
，卡巴斯基在存档中发现了一种“不寻常且有趣”的自我传播机制 ，该机制允许恶意软件自我传播给互联网上的其他受害者。

具体来说，RAR包含运行三个恶意可执行文件的批处理文件，即 “MakiseKurisu.exe”、“download.exe ”和 “upload.exe”
，它们可以执行捆绑的自我传播 。

RAR中包含的文件（卡巴斯基）

第一个是 MakiseKurisu，是亿华云广泛使用 C# 密码窃取程序的修改版本，仅用于从浏览器中提取 cookie 并将其存储在本地 
。

第二个可执行文件“download.exe”用于从 YouTube 下载视频，这些视频是宣传恶意包视频的副本
 。这些视频是从 GitHub 存储库获取的链接下载的 ，以避免指向已从 YouTube 报告和删除的视频 URL
。

宣传恶意软件包的YouTube视频（卡巴斯基）

第三个是“upload.exe ” ，免费模板用于将恶意软件推广视频上传到 YouTube 。使用盗取的 cookies 登录到受害者 YouTube 账户 ，并通过他们的频道传播捆绑的恶意软件。

上传恶意视频的代码（卡巴斯基）

卡巴斯基在报告中解释，[upload.exe]使用了 Puppeteer Node 库，提供了一个高级别 API ，用于使用 DevTools 协议管理 Chrome 和 Microsoft Edge
。当视频成功上传到 YouTube 时，upload.exe 会向 Discord 发送一条信息，并附上上传视频的链接
。

生成Discord通知（卡巴斯基）

如果YouTube频道所有者日常不是香港云服务器很活跃，他们不太可能意识到自己已经在 YouTube 上推广了恶意软件，这种传播方式使 YouTube 上的审查和取缔更加困难。

参考文章：https://www.bleepingcomputer.com/news/security/new-malware-bundle-self-spreads-through-youtube-gaming-videos/