YouTube上的 Valorant 骗局：RedLine 感染

Hackernews 编译，转载请注明出处：

http://hackernews.cc/wp-content/uploads/2022/03/7d5cab096d6289c79e8f83c89100b18-600x300.jpg

韩国安全分析人士在YouTube上发现了一场恶意软件传播活动，攻击者使用Valorant当做诱饵，诱骗玩家下载RedLine——一个强大的信息窃取工具。

这种类型的滥用是相当普遍的，因为黑客发现绕过YouTube的新内容提交审核，或者在被举报和禁号时创建新账户都是很容易的。

ASEC发现的这一活动针对的是Valorant游戏社区，这是一款免费的Windows第一人称射击游戏，在视频描述中提供了一个自动瞄准机器人的下载链接。

http://hackernews.cc/wp-content/uploads/2022/03/734b90d2f1bcde423e28e62a2ed5103-600x429.jpg

假自动瞄准机器人(ASEC)宣传视频

据称，这些骗术是安装在游戏中的外挂，以帮助玩家快速精准瞄准敌人，不用任何技巧就能爆头。

自动瞄准机器人在 Valorant 等热门多人游戏中非常受欢迎，因为它们可以自动瞄准，玩家轻松排名进步。

植入 Redline

试图下载视频描述中的文件的玩家将被带到anonfiles页面，在那里他们会获取一个RAR存档，其中包含一个名为“Cheat installer.exe”的可执行文件。

实际上，这个文件是RedLine 信息窃取程序的副本，RedLine stealer 是最广泛使用的窃取密码的恶意软件感染之一，它从受感染的系统窃取以下数据:

• 基本信息:计算机名、用户名、IP地址、Windows版本、系统信息(CPU、GPU、RAM等)、进程列表
• Web浏览器:密码、信用卡号码、自动填充表单、书签和Chrome、Firefox中的cookie
• 加密货币钱包:Armory、AtomicWallet、bitcoinore、byteccoin、DashCore、Electrum、Ethereum、LitecoinCore、Monero、Exodus、Zcash和Jaxx
• VPN客户端:ProtonVPN、OpenVPN、NordVPN
• 其他:FileZilla(主机地址、端口号、用户名和密码)，Minecraft(帐户凭据，级别，排名)，Steam(客户端会话)，Discord(令牌信息)

在收集了这些信息之后，RedLine巧妙地将其打包到一个名为“().zip”的ZIP压缩包中，并通过WebHook API POST请求将其导出文件到一个Discord服务器。

http://hackernews.cc/wp-content/uploads/2022/03/381a60ae294267a83a8a4219d79248d-600x438.jpg

不要相信YouTube视频中的链接

除此之外，电子游戏中的作弊行为会破坏游戏的乐趣，另外，它总归是一个潜在的严重的安全风险。

这些作弊工具都不是由可信的实体编写的，也没有数字签名(所以反病毒警告肯定会被忽略)，而且很多确实是恶意软件。

ASEC的报告包含了最近的一个例子，但这只是恶意下载链接的海洋中的一小部分，它们藏在在YouTube宣传各种各样的免费软件的视频中。

宣传这些工具的视频通常是从其他地方偷来的，并在新创建的渠道上恶意转发，充当诱饵。

即使这些视频下面的评论称赞上传者，并声称该工具如宣称的那样有效，它们也不应该被信任，因为这些很容易被伪造。

消息来源：BleepingComputer，译者：Zoeppo；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文