Mã độc Trojan Clipboard Hijacker và trộm cắp thông tin Qulab đã được lan truyền trên YouTube thông qua gian lận video về một chương trình Free Bitcoin bị cáo buộc, BleepingComputer báo cáo vào ngày 29/05.
Theo báo cáo, nhà nghiên cứu bảo mật Frost đã yêu cầu BleepingComputer giúp đỡ về vụ lừa đảo Trojan, nói rằng YouTube sẽ gỡ bỏ các video lừa đảo khi được báo cáo, nhưng các tài khoản và video mới sau đó sẽ xuất hiện cùng MO.
Các video được mô tả là một công cụ cho phép người dùng kiếm Bitcoin miễn phí, với một liên kết trong mô tả video. Các liên kết sau đó trực tiếp chuyển đến một bản tải xuống cho công cụ bị cáo buộc, đó là Trojan Qulab. Sau khi tải xuống, Trojan thực sự cần phải được cài đặt để nó được triển khai.
Ngoài cố gắng để ăn cắp một lượng lớn các thông tin của người dùng, Trojan Qulab cũng sẽ cố gắng lén lút ăn cắp crypto bằng cách quét cho các chuỗi sao chép vào clipboard của Windows mà chương trình nhận như địa chỉ crypto, và sau đó thay thế trong địa chỉ của kẻ tấn công.
Nếu người dùng dán chuỗi đó vào trường trang web để chỉ định nơi tiền của họ được sử dụng, đồng nghĩa với việc họ sẽ dán vào chuỗi kẻ tấn công và điều hướng tiền vào đó.
Cảnh báo chỉ ra rằng đây là một chiến lược khả thi, vì người dùng được cho là không thể ghi nhớ trực quan rằng địa chỉ crypto dự định của họ – một chuỗi ký tự dài – đã bị hoán đổi cho một loại khác.
Theo báo cáo của Fumko, có một danh sách dài các địa chỉ crypto mà Trojan có thể nhận dạng, bao gồm các địa chỉ cho Bitcoin, Bitcoin Cash, Cardano, Ether, Litecoin, Monero, v.v.
Như đã báo cáo trước đây, YouTube đã quảng cáo phần mềm độc hại được ngụy trang dưới dạng quảng cáo cho ví Bitcoin Electrum vào tháng 3. Người dùng Reddit mrsxeplatypus đã mô tả scam, dựa trên việc chiếm quyền điều khiển URL, như sau:
“Quảng cáo độc hại được ngụy trang trông giống như quảng cáo Electrum thật […] Nó thậm chí còn bảo bạn truy cập đúng liên kết (electrum.org) trong video nhưng khi bạn nhấp vào quảng cáo, nó sẽ ngay lập tức tải xuống tập tin EXE độc hại. Như bạn có thể thấy trong hình, URL mà nó gửi cho tôi là elecktrum.org, không phải electrum.org”.
Theo: Tạp chí Bitcoin