Hacker YouTube annonce en dehors du site et propage secrètement virus de Troie


La société de sécurité Doctor Web émet un avertissement à tous les utilisateurs d'ordinateurs qu'un nouveau type de virus de Troie se propage sur YouTube.


Le cheval de Troie est conçu pour voler des fichiers et d'autres informations sensibles à partir d'ordinateurs infectés qu'un attaquant pourrait utiliser pour détourner le site de réseautage social d'une victime ou un autre compte de service en ligne.



Le virus de Troie, qui a été détecté par le Docteur Web comme Trojan.PWS.Stealer.23012, a été développé dans le langage de programmation Python et infecté par des ordinateurs exécutant le système d'exploitation Windows.


Docteur Web dit que la distribution du cheval de Troie a commencé le 23 Mars 2018 et se poursuit à ce jour. Les liens utilisés pour télécharger des applications malveillantes sont postés par les attaquants dans la section commentaires des vidéos YouTube, dont la plupart semblent promouvoir un jeu "s'arrêtant".



En fait, c'est un moyen populaire et largement utilisé pour distribuer des logiciels malveillants. Le contenu des vidéos YouTube est principalement utilisé pour montrer les effets spécifiques de l'utilisation "pendaison" dans ces jeux, ce qui est sans aucun doute tentant pour la plupart des joueurs.


Selon Doctor Web, le lien malveillant pointe vers le serveur Yandex.Disk (un disque de Russie) à partir de laquelle la victime peut télécharger à un. RAR comprime le fichier.



Il ne fait aucun doute que le virus de cheval de Troie mentionné précédemment est inclus dans Trojan.PWS.Stealer.23012. Pour persuader les victimes de cliquer sur des liens, les attaquants créent également de faux comptes YouTube pour publier des « avis positifs ».


Docteur Web dit qu'après le démarrage sur un ordinateur infecté, Trojan.PWS.Stealer.23012 recueille les informations suivantes:


  • Cookies stockés par des navigateurs tels que Vivaldi, Chrome, Yandex Browser, Opera, Kometa, Orbitum, Dragon, Amigo et Torch;

  • le nom d'utilisateur et le mot de passe enregistrés dans le navigateur ci-dessus;

  • Screenshot.


En outre, il décharge les fichiers du bureau Windows qui contiennent les extensions suivantes, y compris .txt, .pdf, .jpg, .png, .xls, .doc, .docx, .sqlite, .db, .sqlite3, .bak, .sql et .xml.


Une fois la collecte d'informations terminée, Trojan.PWS.Stealer.23012 enregistre toutes les informations collectées dans le dossier C:/PG148892HQ8, puis les emballe et les compresse dans un fichier appelé "spam.zip", qui sera éventuellement envoyé à un serveur contrôlé par l'attaquant.