Мошенники предлагают геймерам скачать бандл под видом нелицензионных копий популярных игр. На самом деле в файле находится инфостилер RedLine и майнер. Вместо игры пользователь получает несколько файлов, предназначенных для автоматизации распространения вредоносной рекламы на видеоплатформе.
Известно, что в файле содержится два скрипта, активирующих MakiseKurisu.exe, download.exe и upload.exe, которые обеспечивают дальнейшее распространение бандла. Окна и иконки вредоносных программ скрываются от пользователя с помощью утилиты nir.exe.
Инфостилер изымает cookie из браузера и сохраняет их в отдельном файле. Похищенные данные не отправляются третьим лицам – они используются для получения доступа к учётке на YouTube.
