Videos falsos sobre criptomonedas distribuyendo el infostealer Predator the thief

No es ninguna novedad que existen vídeos en YouTube propagando malware aprovechándose de gente que busca descargar algún software, parche o aplicación.

Sin embargo, recientemente se han visto casos de muchos canales que suben vídeos publicitando supuestas aplicaciones que permiten obtener criptomonedas. Claramente es completamente falso y buscan distribuir malware.

Hemos analizado uno de los archivos ofrecidos en uno de los canales más destacables de estos, el cual se presenta bajo el nombre de Crypto World y ya cuenta con más de 21000 reproducciones.

A continuación detallamos un breve análisis de la muestra descargada, que resultó ser Predator the thief, un conocido infostealer.

El canal de YouTube

El canal, conocido como Crypto World, cuenta con casi 22000 reproducciones distribuidas a través de 17 vídeos en los que muestran diferentes herramientas que, supuestamente, permitirían o bien minar criptomonedas u obtener la clave privada de diferentes wallets.

En el vídeo analizado, se muestra un vídeo de cómo funciona la supuesta herramienta y, como no podía ser de otra manera, se menciona en la descripción que la descarga (disponible a través de Google Drive, Yandex Disk y Mediafire) no contiene virus.

Análisis de la amenaza

Descomprimiendo el archivo Crypto World.zip podemos encontrarnos con los siguientes contenidos:

Debajo se listan los contenidos de cada directorio:

Crypto World\
    setup.exe
    \data
        rad_dede.unity3d
        rad_enus.unity3d
        rad_eses.unity3d
        rad_esmx.unity3d
        rad_frfr.unity3d
        rad_itit.unity3d
        rad_jajp.unity3d
        rad_kokr.unity3d
        rad_plpl.unity3d
        rad_ptbr.unity3d
        rad_ruru.unity3d
        rad_thth.unity3d
        rad_zhcn.unity3d
        rad_zhtw.unity3d
    \language
        \arabic
            arabic.ini
            \temp
        \bulgarian
            bulgarian.ini
            \temp
        \chinese
            chinesesimplified.ini
            chinesetraditional.ini
            \temp
        \danish
            danish.ini
            \temp
        \dutch
            dutch.ini
            \temp
        \english
            english.ini
            \temp
        \french
            french.ini
            \temp
        \german
            german.ini
            \temp
        \greek
            greek.ini
            \temp
        \hungarian
            hungarian.ini
            \temp
        \italian
            italian.ini
            \temp
        \japanese
            japanese.ini
            \temp
        \polish
            polish.ini
            \temp
        \portuguese
            portuguese.ini
            \temp
        \romanian
            romanian.ini
            \temp
        \spanish
            spanish.ini
            \temp
        \template
            template.ini
            \temp
                checker.ini
        \turkish
            turkish.ini
            \temp
        \uyghur
            uyghur.ini
            \temp
    \microsoft .net framework 4.5
        dotNetFx45_Full_setup.exe

El directorio “data” cuenta con diferentes archivos con extensión unity3d pertenecientes al videojuego Hearthstone. Mientras que “language” posee distintos subdirectorios con archivos de extensión .ini donde se encuentran traducidos diferentes comandos a varios idiomas y también un checker.png en el directorio […]\template\temp al que haremos referencia en breve. También existe un directorio llamado “microsoft .net framework 4.5” en que se encuentra el instalador de dicho software.

En cuanto ejecutamos Setup.exe se inicia una interfaz en la que tenemos dos opciones, y nada más darle a Next estaremos infectando nuestro equipo.

El programa no mostrará cambio alguno, pero en el trasfondo droppeará un ejecutable llamado license.exe en el directorio […]\language\template\temp\ y ahí es donde entra en juego el archivo checker.png.

Este archivo no es para nada una imagen, sino un archivo .zip que contiene license.exe y es de donde setup.exe lo obtiene, descomprimiéndolo y luego ejecutándolo.

El ejecutable license.exe es quien finalmente instala Predator the thief en el equipo, se trata de un infostealer conocido por mantener un constante contacto con su Command & Control, a la cual no sólo envía credenciales robadas sino que también tiene capacidad de robar los contenidos del clipboard y grabar utilizando la webcam del equipo.

También es importante mencionar que variantes recientes de este malware han sido vistas como punto de entrada para otras amenazas, las cuales se encuentra distribuyendo en forma similar a EMOTET.

Información adicional sobre setup.exe y license.exe

Debajo se encuentran algunas capturas mostrando las propiedades de los archivos setup.exe y license.exe

Es importante mencionar que ninguno de estos archivos es detectado por patrones a la hora de escribir este informe, pero license.exe sí es detectado por sistemas de Machine Learning de diferentes fabricantes, por ejemplo según Trend Micro bajo el nombre PAK_Xed-3

Indicadores de compromiso

195.133.201.49:80 | Servidor de Command & Control

68628a559b88fd7e2f2c5415248243f6a832107e42314e147f06a826e210504f | Setup.exe

903591755b50f7569db720b4c078d47a54dca112f55feb0c085f56b9571fb3ee | License.exe

d6735ddb2eace122f94c4536a2e97742a40eb70119ada9959be965adbea287f2 | Crypto World.zip