Les acteurs de la menace diffusent un nouveau malware bot YouTube qui a la capacité d'augmenter artificiellement le classement des vidéos sur le site et de collecter des données confidentielles auprès des navigateurs. Le serveur C2 envoie des commandes au bot pour des actions destructives supplémentaires.

Les chercheurs de Cyble ont découvert que le virus connu sous le nom de YouTube bot est diffusé sous la forme d'un fichier exécutable 32 bits créé à l'aide du compilateur .NET.

Le fichier exécutable doit être lancé avec quatre chaînes d'arguments, dont l'ID de la vidéo, la durée de la vidéo, le like et la remarque.

Le virus effectue un contrôle AntiVM dès son exécution afin de faire échouer les tentatives des chercheurs de trouver et d'analyser les logiciels malveillants dans un environnement virtuel.

Il arrête l'exécution s'il constate qu'il fonctionne dans un cadre réglementé. Dans le cas contraire, il exécute les tâches énumérées dans les chaînes d'arguments.

En outre, le virus crée un mutex, se copie dans le dossier %appdata% en tant que AvastSecurity.exe, puis utilise cmd.exe pour s'exécuter.

Le nouveau mutex fait une entrée dans le planificateur de tâches et contribue à assurer la persistance.

Les navigateurs Chromium installés sur le système de la victime sont utilisés pour collecter des cookies, des informations de remplissage automatique et des informations de connexion par le programme AvastSecurity.exe.

Afin de visualiser la vidéo choisie, le virus exécute la fonction YouTube Playwright, en transmettant les arguments indiqués précédemment ainsi que le chemin d'accès du navigateur et les données des cookies.

Le malware établit une connexion avec un serveur C2 et reçoit des instructions pour effacer l'entrée de la tâche planifiée et terminer son propre processus, extraire les fichiers journaux vers le serveur C2, télécharger et exécuter d'autres fichiers, et démarrer/arrêter le visionnage d'un film YouTube.

En outre, il vérifie si le système de la victime dispose des dépendances nécessaires, telles que le navigateur Chrome et le paquet Playwright. Si ces dépendances sont absentes, il les télécharge et les installe lorsqu'il reçoit la commande "view".

Il est suggéré aux créateurs de contenu d'éviter l'utilisation de robots pour booster les vidéos.