
 ;
Le cheval de Troie notoire se propage en parcourant l’affichage des outils de triche pour les jeux vidéo populaires et se propage automatiquement sur les vidéos YouTube.
Découvert début 2020, le malware RedLine – ou RedLine Information Stealer – est présenté par Kaspersky comme l’un des chevaux de Troie les plus couramment utilisés pour voler les noms d’utilisateur, les mots de passe, les cookies, les détails de carte de crédit et les données de remplissage automatique, les navigateurs basés sur Chromium et Gecko.
Sur l’appareil de la victime, il peut également extraire des données sensibles liées aux messages instantanés (version de bureau), aux portefeuilles de crypto-monnaie ou aux informations d’identification associées aux services VPN.
L’attrait des jeux vidéo et de la triche
RedLine se négocie via des forums fréquentés par les cybercriminels sur le Dark Web notamment, et plus encore pour un prix modique. Par exemple, il est vu dans la fourchette de prix de 150 $ à 200 $ et est proposé en tant que malware-as-a-service.
Depuis début 2022, par exemple, les cybercriminels distribuent RedLine comme outil de mise à niveau vers Windows 11. Kasperky a également détecté des attaques RedLine sous le couvert de jeux vidéo populaires et d’outils de triche.
Les éditeurs de cybersécurité alertent désormais sur les vidéos YouTube avec des liens vers des fichiers de type archive protégés par des mots de passe communiqués. Ils sont conçus dans le but d’installer RedLine sur une machine compromise.
Avec propagation automatique sur des vidéos YouTube
« La vidéo fait la promotion d’outils de triche et de crack, et fournit des instructions pour pirater des jeux et des logiciels populaires », a écrit Oleg Kupreev. Les chercheurs en sécurité de Kaspersky citent des vidéos pour des jeux comme DayZ, Farming Simulator, FIFA 22, Final Fantasy XIV, Forza, Lego Star Wars, Sniper Elite, Spider-Man et Walken.
Le téléchargement de l’archive RAR auto-extractible conduit à l’installation de RedLine Stealer, un mineur de crypto-monnaie qui sera à l’aise avec un moteur orienté jeu, plusieurs fichiers malveillants et un utilitaire d’exécution automatique du contenu décompressé.
Et pour s’assurer que l’attaque se propage automatiquement, l’exploration des cookies du navigateur est utilisée pour accéder au compte YouTube de la victime et télécharger des vidéos avec des liens vers les archives du piège. Si c’est le cas, l’exécutable envoie un message Discord avec un lien vers la vidéo.
Le méchant cocktail était assez méchant. Chez Kaspersky, Google a signalé que les soi-disant chaînes piratées avaient été rapidement supprimées pour avoir enfreint les règles de la communauté sur YouTube.