Si vous voyez apparaître en masse des vidéos YouTube faisant la promotion de divers logiciels de triche pour des jeux vidéo, faites très attention : elles cachent probablement un malware très dangereux. Des pirates ont en effet mis au point un système leur permettant de déployer massivement et automatiquement leur logiciel malveillant.

Il y a quelques mois, nous vous parlions de ces vidéos YouTube dont la description cache en réalité un malware. La stratégie est aussi simple que redoutable : poster des vidéos faisant la promotion d’un prétendu logiciel de triche pour Valorant et pousser les joueurs peu attentifs à télécharger le logiciel malveillant. Terriblement efficace donc, mais un problème subsiste : les pirates doivent manuellement prendre le contrôle d’une chaîne YouTube et y poster la vidéo.

Quelques mois plus tard, il semblerait que la méthode ait bien évolué. C’est en effet ce que révèle une nouvelle enquête de Kaspersky, qui, dans un premier temps, pointe du doigt les ambitions grandissantes des pirates. Autrefois concentrés sur Valorant, ces derniers étendent désormais leurs opérations auprès des joueurs de FIFA, Final Fantasy, Forza Horizon, Lego Star Wars, ou encore Marvel’s Spider-Man.

Ils piratent des chaînes YouTube pour diffuser automatiquement leur malware

Le malware caché dans les descriptions est toujours le même, à savoir RedLine, un logiciel particulièrement dangereux qui permet de voler de nombreuses informations confidentielles, telles que mots de passe, coordonnées bancaires, cookies de navigation et autres conversations privées. Ce dernier est d’ailleurs très populaire auprès des pirates, puisqu’il se terre actuellement dans de nombreux logiciels crackés.

À noter que les hackers en ont depuis profité pour ajouter un programme de minage de cryptomonnaies qui prend le contrôle de la carte graphique de la victime. Mais ce n’est pas la découverte la plus inquiétante de Kaspersky. En effet, RedLine se diffuse désormais automatiquement sur YouTube, sans que les pirates n’aient plus besoin d’intervenir. Pour cela, ceux-ci ont ajouté trois fichiers exécutables à leur paquet.

Sur le même sujet — WordPress : attention à cette fausse page Cloudflare, elle télécharge un dangereux malware

Le premier, baptisé MakiseKurisu, est spécifiquement chargé de subtiliser les mots de passe de la victime ayant téléchargé le malware, dans l’espoir d’y trouver les identifiants d’une chaîne YouTube. Le second, download.exe, sert à télécharger une copie de la vidéo faisant la promotion du faux logiciel de triche ou jeu cracké. Enfin, upload.exe va poster cette vidéo sur la chaîne YouTube fraîchement piratée, déclenchant ainsi un nouveau cycle.

Source : Kasperky