Cybercriminelen gebruiken de omschrijving van YouTube-kanalen om hun botnetservers te verbergen, zo hebben onderzoekers van Cisco ontdekt. Een nieuwe variant van de Astaroth-malware gebruikt de omschrijving van bepaalde YouTube-kanalen om botnetservers te vinden waarmee besmette systemen worden aangestuurd. Dit moet detectie voorkomen, aldus de onderzoekers.

Astaroth is ontwikkeld om gegevens voor internetbankieren te stelen. De nieuwste versie richt zich daarbij alleen op Braziliaanse internetgebruikers. De aanval begint met een e-mail die bijvoorbeeld claimt dat de ontvanger nog een factuur moet betalen. Ook versturen de aanvallers e-mails die van het Braziliaanse ministerie van Volksgezondheid afkomstig lijken en over het coronavirus gaan.

De berichten bevatten een link naar een zip-bestand. Dit zip-bestand bevat weer een lnk-bestand. Wanneer de gebruiker het lnk-bestand opent wordt de Astaroth-malware op het systeem geïnstalleerd. Net als andere malware proberen de ontwikkelaars van Astaroth met besmette systemen te communiceren om die bijvoorbeeld van updates te voorzien. Hiervoor moeten de besmette systemen wel eerst de locatie van de botnetservers weten.

In het geval van Astaroth wordt hiervoor gebruikgemaakt van de omschrijving van YouTube-kanalen, wat een nieuwe methode is, aldus de onderzoekers van Cisco. De omschrijving van de YouTube-kanalen bevat een versleutelde en base64 gecodeerde lijst met domeinen waarmee de besmette computer verbinding moet maken. Volgens de onderzoekers proberen de criminelen op deze manier hun command en control-infrastructuur te verbergen. In het geval de communicatie met het YouTube-kanaal mislukt gebruikt de malware als back-up een hardcoded url die naar een botnetserver wijst.