YouTube, популярная платформа для обмена видео, принадлежащая Google, стала питательной средой для злоумышленников, стремящихся распространять вредоносное ПО через взломанные или пиратские видеоигры. По мнению исследователей из Доказательствокомпании по кибербезопасности, были выявлены многочисленные каналы YouTube которые продвигают пиратские видеоигры, но на самом деле распространяют вредоносное ПО, такое как Видар, StealC и Lumma Stealer. В этой статье мы более подробно рассмотрим эту вредоносную кампанию и ее последствия для пользователей YouTube.

Кампания по вредоносному ПО

Согласно отчету Proofpoint, Хакеры вставили ссылки в описания видео на YouTube, которые предположительно перенаправляют жертв на другие сайты. Однако на самом деле эти ссылки ведут к сайты, содержащие вредоносное ПО предназначен для кражи личной информации. Видео часто обещают пользователям возможность загружать бесплатное программное обеспечение или обновления игр, но на самом деле подвергают их серьезной угрозе безопасности.

аккаунт YouTube Похоже, что участвующие в кампании были скомпрометированы или получены от законных пользователей, но исследователи также выявили учетные записи, специально созданные злоумышленниками. Эти временные учетные записи активны всего несколько часов и приходят используется исключительно для распространения вредоносного ПО. Интересно, что игры, используемые в качестве приманки для привлечения пользователей, часто пользуются популярностью среди молодежи, в том числе детей.

Влияние на молодых пользователей

Возможность того, что субъекты угроз могут повлиять на онлайн-опыт детей, вызывает крайнюю тревогу. Селена Ларсон, старший аналитик по анализу угроз в Proofpoint, отметил, что молодые пользователи, включая детей, могут иметь меньший опыт выявления потенциально опасного контента и, следовательно, более склонны к взаимодействию с ним. Кроме того, большинство этих угроз могут быть нацелены на потребителей, играющих в игры на домашних компьютерах, часто содержащих личную и конфиденциальную информацию, которую злоумышленники могут использовать для получения финансовой выгоды.

Ответ YouTube

Компания Proofpoint сообщила о более чем 24 учетных записях и видеороликах, распространяющих вредоносное ПО, и YouTube оперативно удалил такой контент. Представитель YouTube заявил, что на платформе действуют строгие правила, запрещающие пользователям размещать в описаниях видео контент, нарушающий правила сообщества, в том числе вредоносное ПО. YouTube использует сочетание искусственного интеллекта и человеческого анализа для обеспечения соблюдения этих политик и активно отслеживает видео и прямые трансляции, чтобы выявлять и устранять мошенническое поведение.

В четвертом квартале 2023 года YouTube удалено более 20,5 миллионов каналов за нарушение правил сообщества. Подавляющее большинство этих каналов было заблокировано за нарушение антиспамовой политики. Кроме того, на YouTube есть удалили более 1,1 миллиарда комментариев в четвертом квартале 2023 года.большинство из которых были спамом и были обнаружены автоматически.

Распространение вредоносного ПО через MediaFire и Discord

По данным Proofpoint, вредоносное ПО в основном распространялось через URL-адрес MediaFire содержащие вредоносные файлы. Однако также были выявлены случаи, когда хакеры вставляли ссылки Discord в описания видео. ТО Дискорд каналы связанные файлы, доступные для загрузки и содержащие вредоносное ПО. Злоумышленники также использовали скомпрометированные или продаваемые аккаунты YouTube, создавая новые англоязычные видеоролики, посвященные видеоиграм или взломам программного обеспечения.

Примеры атак

Proofpoint поделился несколькими примерами атак, выявленных исследователями. В одном из них учетная запись с примерно 113 000 подписчиков была скомпрометирована или продана злоумышленнику, который использовал ее злонамеренно. Аккаунт, ранее использовавшийся для публикации видеороликов на тайском языке, бездействовал в течение года, прежде чем внезапно было опубликовано 12 новых видеороликов на английском языке, все из которых были связаны с видеоиграми или взломами программного обеспечения. Каждое видео содержало описание со ссылками на вредоносный контент.

В другом примере видео предлагало пользователям улучшения своих игровых персонажей. В описании было связать MediaFire который после щелчка скачал и установил вредоносное ПО Vidar Stealer. Многие комментарии к видео подтверждают легитимность предложения, но на самом деле они были созданы злоумышленниками для легитимизации вредоносных ссылок.

Сложность атрибуции угроз

Proofpoint не удалось идентифицировать хакеров, ответственных за эту вредоносную кампанию, а также приписать ее известному злоумышленнику или группе. Однако они отметили, что используемые методы аналогичны, включая URL-адреса хостинга описаний видео для распространение вредоносных программ и инструкции по отключению антивируса. Похоже, что злоумышленники в первую очередь нацелены на пользователей, не являющихся бизнесом, таких как игроки в видеоигры, у которых зачастую меньше ресурсов и знаний для защиты от кибератак, чем у предприятий.

Источник статьи ВОЗ.