一项新的 RedLine 恶意软件分发活动在 YouTube 上推广伪造的 Binance NFT 神秘盒子机器人，以引诱人们使用来自 GitHub 存储库的信息窃取恶意软件感染自己。

币安神秘盒子是人们购买的一组随机不可替代的代币 (NFT) 物品，希望他们能以低廉的价格收到独特或稀有的物品。在这些盒子中发现的一些 NFT 可用于在在线区块链游戏中添加稀有的化妆品或角色。

神秘盒子在 NFT 市场上很流行，因为它们给人们带来了未知的乐趣，并且如果他们获得了稀有的 NFT，就有可能获得丰厚的回报。然而，像币安这样的市场提供的数量有限，使得一些盒子在缺货之前很难买到。

这就是为什么感兴趣的买家经常部署“机器人”来获取它们，而威胁行为者正试图利用的正是这一热门趋势。
YouTube 和 GitHub 滥用
根据Netskope 的一份新报告，威胁参与者正在制作 YouTube 视频，以诱使潜在受害者在他们的计算机上下载和安装恶意软件，并认为他们正在获得一个免费的神秘盒子剥头皮机器人。

恶意 YouTube 视频 (Netskope)
BleepingComputer 证实， 妥协指标中列出的视频 仍然可以在 YouTube 上观看，尽管观看次数很少。

可能比 Netskope 发现的要多得多，而且 YouTube 版主也可能报告并删除了以前观看次数较多的诈骗视频。

威胁参与者在 2022 年 3 月至 2022 年 4 月之间上传了这些视频，它们都带有一个指向 GitHub 存储库的链接，该存储库据称托管了该机器人，但实际上分发了 RedLine。

导致 GitHub 下载的视频描述 (Netskope)
删除的文件的名称是“BinanceNFT.bot_v1.3.zip”，其中包含一个名称相似的可执行文件，即有效负载、一个 Visual C++ 安装程序和一个 README.txt 文件。

已删除的 ZIP
(Netskope)中包含的文件
RedLine 需要运行 VC 可再发行安装程序，因为该程序是在 .NET 中开发的，而文本文件包含受害者的安装说明。

自述文件说明 (Netskope)
在此活动中，如果恶意软件检测到主机上的国家是俄罗斯、乌克兰、白俄罗斯、亚美尼亚、阿塞拜疆、哈萨克斯坦、摩尔多瓦、乌兹别克斯坦、塔吉克斯坦或吉尔吉斯斯坦，则 RedLine 被配置为退出。

除了 Netskope 看到的 RedLine 活动外，BleepingComputer 还注意到更新的 YouTube 活动宣传免费的“Binance NFT Bot”。

但是，这些活动使用 rebrand.ly URL 重定向到 MediaFire 上托管的下载。据VirusTotal称，该活动还散布窃取密码的木马。

红线威胁仍在继续
RedLine 是信息窃取恶意软件领域中非常流行且强大的威胁，由多个威胁参与者以 多种方式分发。

它目前以每月 100 美元的订阅模式出售给独立运营商，并支持从 网络浏览器中窃取登录密码和 cookie 、聊天应用程序中的数据、VPN 凭证和加密货币钱包。

在像这次这样的以加密货币为主题的活动中，受害者通常拥有数字资产和加密货币，这使得经济损失更加严重。

要始终牢记的一件事是，YouTube 和 GitHub 等平台的合法性并不能自动等同于内容的可信度，因为这些网站缺乏上传检查和审核程序。

单击由小型和 不起眼的 YouTube 频道上传的视频下方或视频上提供的链接、下载可执行文件并在您的系统上运行它们绝不是一个好主意。