O trojan sequestrador de informações Qulab também rouba dados na área de transferência e está sendo propagado no YouTube por meio de vídeos fraudulentos sobre um gerador supostamente gratuito de bitcoin (BTC), informou a BleepingComputer em 29 de maio.

De acordo com o relatório, o pesquisador de segurança Frost entrou em contato com a BleepingComputer sobre o trojan, dizendo que o YouTube derrubaria os vídeos fraudulentos quando informados, mas novas contas e vídeos apareceriam com o mesmo scam.

Os vídeos descrevem uma ferramenta que permite aos usuários ganharem bitcoins, com um link na descrição do vídeo. Os links então direcionam o usuário para um download da ferramenta alegada, que na verdade é o trojan Qulab. Após o download, o trojan precisa ser instalado para que seja implantado.

Além de tentar roubar uma infinidade de informações do usuário, o trojan Qulab também tentará furtivamente roubar a criptomoeda do usuário, procurando por cadeias de caracteres copiadas para a área de transferência do Windows que o programa reconhece como endereços de criptomoedas e então substituindo o endereço de envio para o endereço do atacante.

Desta forma se usuário colar a sequência copiada em um campo de website para especificar onde seus fundos serão gastos, eles colarão na verdade a sequência do invasor e direcionarão os fundos para ela.

O alerta dos pesquisadores indica que esta é uma estratégia viável, já que é improvável que os usuários lembrem ou registrem visualmente que o endereço de destino pretendido - uma longa sequência de caracteres - foi trocado por um diferente.

De acordo com o relatório de Fumko, há uma longa lista de endereços de criptomoedas que o trojan pode reconhecer, incluindo os de bitcoin, bitcoin cash, cardano, ether, litecoin, monero e muito mais.

Como reportado anteriormente pelo Cointelegraph, o YouTube anunciou em março ter encontrado um malware disfarçado em uma propaganda que direcionava o usuário para uma suposta carteira de Bitcoin da Electrum. O usuário do Reddit, mrsxeplatypus, descreveu o golpe, baseado no sequestro de URL:

“O anúncio malicioso é disfarçado para parecer um verdadeiro anúncio da Electrum [...] Ele ainda diz para você ir para o link correto (electrum.org) no vídeo, mas quando você clica no anúncio ele imediatamente começa a baixar um arquivo malicioso com extensão .EXE. Como você pode ver na imagem, o URL para o qual ele redireciona é o elecktrum.org, e não o electrum.org. ”