Σε ορισμένες περιπτώσεις, επαληθευμένα κανάλια στο YouTube υπόσχονται cracks παιχνιδιών. Ωστόσο, στην πραγματικότητα διανέμεται malware.
Οι ερευνητές ασφάλειας πληροφορικής της Proofpoint ανακάλυψαν διάφορα κανάλια YouTube που διαδίδουν κακόβουλο λογισμικό. Υπόσχονται σπασμένα και παράνομα αντιγραμμένα βιντεοπαιχνίδια και σχετικό περιεχόμενο.
Όπως γράφουν οι αναλυτές της Proofpoint σε ένα blog post, στόχος αυτής της απάτης είναι οι οικιακοί χρήστες και όχι οι υπάλληλοι των εταιρειών. Οι τελευταίοι είναι και οικονομικά ελκυστικοί για τους εγκληματίες του κυβερνοχώρου, καθώς έχουν αποθηκεύσει στους υπολογιστές τους στοιχεία πιστωτικών καρτών, πορτοφόλια κρυπτονομισμάτων και άλλες αξιοποιήσιμες προσωπικές πληροφορίες. Αυτό μπορεί να χρησιμοποιηθεί επικερδώς από κακόβουλους φορείς.
Βίντεο διάδοσης κακόβουλου λογισμικού σε επαληθευμένα κανάλια
Οι επιτιθέμενοι διαδίδουν συνδέσμους προς κακόβουλο λογισμικό σε ύποπτους παραβιασμένους λογαριασμούς στο YouTube. Σε ένα παράδειγμα, ένας λογαριασμός είχε 113.000 οπαδούς, αλλά δεν είχε δημοσιεύσει νέα βίντεο για περισσότερους από δώδεκα μήνες. Τώρα, εμφανίστηκαν αρκετά νέα βίντεο που διέφεραν τόσο θεματικά όσο και γλωσσικά από το προηγούμενο περιεχόμενο. Η Proofpoint υποψιάζεται ότι ορισμένοι κάτοχοι λογαριασμών ενδέχεται να έχουν πουλήσει την πρόσβασή τους στους εγκληματίες του κυβερνοχώρου. Ωστόσο, οι ερευνητές πληροφορικής ανακάλυψαν επίσης εντελώς νέους λογαριασμούς στο YouTube που χρησιμοποιούνται αποκλειστικά για τη διάδοση κακόβουλου λογισμικού.
Τα βίντεο υποτίθεται ότι δείχνουν στους θεατές πώς να κατεβάζουν δωρεάν λογισμικό ή να αναβαθμίζουν βιντεοπαιχνίδια. Ωστόσο, οι περιγραφές των βίντεο περιέχουν συνδέσμους προς κακόβουλο λογισμικό όπως τα Vidar, StealC ή Lumma Stealer, τα οποία κατασκοπεύουν προσωπικές πληροφορίες και στοιχεία πιστωτικών καρτών και τα στέλνουν σε διακομιστές εντολών και ελέγχου, καθώς και σαρώνουν και επιχειρούν να αδειάσουν πορτοφόλια κρυπτογράφησης.
Οι σύνδεσμοι παραπέμπουν ιδίως σε hosters όπως το Mediafire. Εκεί, για παράδειγμα, οι ερευνητές πληροφορικής βρήκαν ένα αρχείο RAR (Setup_Pswrd_1234.rar) που προστατεύεται με κωδικό πρόσβασης και περιέχει το εκτελέσιμο αρχείο Setup.exe. Μόλις αυτό ξεκίνησε, κατέβασε το κακόβουλο λογισμικό Vidar Infostealer. Τα σχόλια αρκετών νέων στο βίντεο επιβεβαίωσαν ότι το crack λειτούργησε – πρόκειται πιθανότατα για λογαριασμούς που δημιουργήθηκαν από τον ίδιο τον uploader του βίντεο. Κάτω από ένα άλλο βίντεο, οι εγκληματίες του κυβερνοχώρου δημοσίευσαν οδηγίες που λένε στα πιθανά θύματα να απενεργοποιήσουν τους σαρωτές ιών και την έξυπνη οθόνη των Windows, για παράδειγμα, πριν εκτελέσουν το κακόβουλο λογισμικό.
Εκτός από το Mediafire, οι σύνδεσμοι του κακόβουλου λογισμικού οδηγούν επίσης στο Telegram ή στο Discord. Εκτός από την αναζήτηση θυμάτων με δημοφιλείς τίτλους παιχνιδιών, οι επιτιθέμενοι προσπαθούν να μιμηθούν γνωστές ομάδες πειρατείας λογισμικού. Σε μια περίπτωση, ένα crack του “League of Legends” υποτίθεται ότι προερχόταν από το “Empress”, το εκτελέσιμο αρχείο ονομαζόταν τότε επίσης empress.exe.
Σύμφωνα με τους ειδικούς της Proofpoint, οι δράστες στοχεύουν κυρίως σε παιδιά και τα δελεάζουν με παιχνίδια που είναι ελκυστικά για αυτή την ομάδα-στόχο. Οι νέοι είναι λιγότερο ικανοί να αναγνωρίζουν το επιβλαβές περιεχόμενο και την επικίνδυνη διαδικτυακή συμπεριφορά. Οι αναλυτές βρήκαν περισσότερους από δύο δωδεκάδες τέτοιους λογαριασμούς και βίντεο που διέδιδαν κακόβουλο λογισμικό και τα ανέφεραν στο YouTube, οπότε η πλατφόρμα τα αφαίρεσε. Στην ανάλυση, οι ερευνητές πληροφορικής της Proofpoint κατονόμασαν επίσης δείκτες συμβιβασμού (Indicators of Compromise – IOCs), οι οποίοι υποδεικνύουν την προσβολή από το κακόβουλο λογισμικό που εντοπίστηκε.