YouTube上出现“比特币生成器”，其实是木马传播者

近期，Youtube上出现大量关于“比特币生成器”的广告视频比特币生成器，声称该工具可以免费为用户生成比特币，但实际上是散布Qulab信息窃取和剪贴板劫持木马的恶意行为。

该活动是由安全研究员弗罗斯特发现的。 他说，他已经跟踪这个木马行为大约15天了。 每次发现并举报类似视频，YouTube都会迅速删除该视频并封禁相应用户。 将会有新的帐户上传类似的视频。

视频上传器

视频的内容是介绍一款号称可以免费生成比特币的工具，附有下载链接。 该工具实际上是一个特洛伊木马程序和一个网站链接。 如图所示：

木马宣传片

当用户点击视频中的下载链接时，会跳转到一个Setup.exe文件的下载页面。 如果用户下载并运行该文件，计算机就会被植入Qulab木马。

程序下载页面

Qulab木马

在这个 YouTube 骗局中推送的恶意程序是 Qulab 信息窃取和剪贴板劫持木马。 程序执行后，木马会将自身复制到%AppData%\amd64_microsoft-windows-netio-infrastructure\msaudite.module.exe位置并启动。

根据Fulaik0关于Qulab的文章可知，Qulab木马会窃取用户浏览器历史记录，保存浏览器凭证、cookie比特币生成器，并将凭证保存在FileZilla、Discord、Steam中。 该特洛伊木马还会从计算机中窃取 .txt、.maFile 和 .wallet 文件。

除此之外，QUlab 还充当剪贴板劫持者或剪辑器，这意味着它监视 Windows 剪贴板中存在的数据，当它检测到它时，它可以使其与攻击者预期的数据交换不同。 在当前的攻击场景中，Qulab 查找已复制到剪贴板的加密货币地址并将其换出。

由于加密货币地址是长字符串，难以口头记忆，很多用户不会意识到自己记录的地址已经被其他内容悄悄替换，攻击者可以通过这种方式窃取加密货币。

Fumik0_ 的分析表明，Qulab 支持以下 Clipper 组件的加密货币地址：

木马编译窃取的数据时，通过Telegram发送给攻击者，如下：

如果您不幸感染了该木马，请立即更改常用账户和网站的密码。 再次尝试使用密码管理器为每个帐户创建唯一且强密码。