Aktuell läuft eine Betrugsmasche, bei der YouTube-Videos verwendet wurden, um einen Trojaner namens Predator zum Datendiebstahl auszuliefern. Aber es gibt auch Betrüger, die zum Kauf von Finanzprodukten überreden wollen.
Betrug mit Finanzprodukten
Das Thema Betrug mit Crypto-Währungen liegt irgendwie in der Luft. Die Tage hatte der hessische Rundfunk diesen Beitrag zum Thema. Promis wie Thomas Gottschalk, Herbert Grönemeyer oder Lena Meyer-Landrut werben angeblich für Bitcoin und andere Produkte. Diese wissen nichts davon, deren Name wird in Anzeigen auf Internetseiten missbraucht, damit Leute in ‘Finanzprodukte’ in diesem Bereich investieren. Das Geld ist natürlich weg. Inzwischen warnt das LKA Hessen bereits vor dieser Masche. Auch im Presseportal warnt die Polizei Höxter vor dieser Masche.
(Quelle: Pexels David McBee CC0 License)
Trojaner auf Video-Empfehlung
Die hier im Beitrag gegenständliche Betrugsmasche verfolgt aber einen anderen Ansatz. Ich bin über den nachfolgenden Tweet auf diese Betrugsmasche aufmerksam geworden.
YouTube wird für eine Betrugsmasche missbraucht, um ein angebliches Tool zu bewerben, mit dem privater Schlüssel für Bitcoin generiert werden kann. Stattdessen wird ein Info Stealer heruntergeladen https://t.co/opCin8P9ec ^RW pic.twitter.com/E1bdamj0tF
— Trend Micro Deutschland (@TrendMicroDE) November 14, 2019
Hier werden YouTube-Videos für den Betrug verwendet. Die Betrüger laden YouTube-Videos hoch, die den Nutzern einen privaten Schlüsselgenerator für Bitcoin-Adressen versprechen. Einige Videos, die von einem Benutzer mit dem Namen Crypto World hochgeladen wurden, hatten mehrere hundert Abrufe.
Über die Videos und deren Beschreibungen erfährt der Benutzer, wo er das angebliche Tool auf Yandex, Google Drive und MediaFire herunterladen kann. Die Datei Crypto World.zip enthält eine setup.exe Datei. Letzteres beinhaltet eine passwortgeschützte ZIP-Datei mit der ausführbaren Datei Predator the Thief, ein Trojaner, der Informationen stehlen kann.
#Youtube Video pushing #predator #stealer.
AV: 1/ 70
c2: http://198.199.124[.]10/login
hash: e1c89acf2bbe555687b7c98af63c891a @mal_share https://t.co/eD6Bpl6U4i@James_inthe_box @JAMESWT_MHT @BleepinComputer @P3pperP0tts @MisterCh0c @malwrhunterteam @JayTHL @JRoosen @fumik0_ pic.twitter.com/dD0VHSs4FJ— hxFrost (@0xFrost) November 11, 2019
Der Trojaner wurde von Trend Micro Sicherheitsforscher Frost entdeckt und wird inzwischen von Trend Micro als TrojanSpy.MSIL.PREDATOR.AA erkannt. Bleeping Computer hat die Malware analysiert. Die setup.exe wird in den Ordner
.\language\templates\temp folder
als license.exe entpackt. Sobald die license.exe ausgeführt wird, installiert diese den Trojaner Predator the Thief auf dem System des Opfers. Predator the Thief kommuniziert dann mit seinem C&C-Server, um andere Komponenten und Malware-Varianten herunterzuladen. Der Trojaner sendet zudem auch gesammelte Informationen an die Bedrohungsakteure zurück.Neben Passwörtern ist Predator the Thief in der Lage, Dateien vom betroffenen Computer zu stehlen (z.B. eine Kopie der Zwischenablage) und Videos mit der Webcam des Computers aufzunehmen. Weitere Details sind in diesem Trend Micro-Beitrag abrufbar.
Man sollte eher vor Bitcoin selbst warnen, denn Bitcoin ist der Ausdruck für die Perversion des Homo Sapiens. Es fehlt nicht mehr viel, dann verbraucht die Bitcoin-Welt für die Produktion ihrer wirrtuellen Währung so viel Strom wie die gesamte dänische Volkswirtschaft – und trägt somit erheblich zur Zerstörung der Umwelt dieses Planeten bei.