Несмотря на все усилия YouTube, мошенникам удаётся провести хитрую кампанию.
ИБ-компания Proofpoint сообщает, что хакеры распространяют вредоносные программы через YouTube-каналы, которые продвигают взломанные видеоигры. Киберпреступники размещают в описаниях видео ссылки на сайты, с помощью которых доставляются инфостилеры Vidar, StealC и Lumma Stealer.
Мошенники используют скомпрометированные аккаунты реальных пользователей. Также были обнаружены аккаунты, которые работали всего несколько часов и создавались исключительно для распространения вредоносных программ.
В Proofpoint выразили обеспокоенность тем, что такие действия мошенников могут затронуть детей и подростков, которые часто не имеют опыта распознавания потенциально вредоносного контента и могут с большей вероятностью взаимодействовать с ним. Особенно тревожно то, что кампания, скорее всего, повлияет на пользователей, играющих на домашних компьютерах, которые содержат большое количество личной и конфиденциальной информации.
YouTube уже удалил более 24 аккаунтов и вредоносных видео. Представитель YouTube сообщил, что на платформе действуют политики, запрещающие пользователям размещать в описаниях контент, нарушающий правила YouTube, включая вредоносные программы.
Вредоносное ПО в основном распространялось через ссылки на файловый хостинг MediaFire, но в некоторых случаях использовались ссылки на Discord-каналы, которые предлагали к скачиванию замаскированное вредоносное ПО.
https://www.securitylab.ru/upload/me...hwow9p5wlj.png
Ссылки на скачивание вредоносного ПО в описании видео
В одном из примеров аккаунт с 113 000 подписчиков был скомпрометирован или продан злоумышленнику, который начал использовать его во вредоносных целях. Ранее аккаунт публиковал видео на тайском языке и был неактивен около года, после чего в течение 24 часов было размещено 12 новых видео на английском языке, связанных с видеоиграми или взломом программного обеспечения.
https://www.securitylab.ru/upload/me...gjvgamp8xr.png
Канал на тайском языке стал использоваться для распространения инфостилеров
Proofpoint не смогла идентифицировать хакеров, стоящих за кампанией, и не смогла приписать ее какой-либо известной группировке, отметив, что деятельность была разделена на несколько отдельных кластеров.
Таким образом, хакеры целятся в игроков видеоигр, которые, как правило, не обладают такими же ресурсами или знаниями для защиты от атак, как корпоративные пользователи. Несмотря на то, что большинство описанных компрометаций, вероятно, не приведут к большим финансовым выигрышам, у игроков обычно есть доступ к некоторым видам кредитных карт, криптовалют или другой личной информации, которую можно продать.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://www.proofpoint.com/us/blog/threat-insight/threat-actors-deliver-malware-youtube-video-game-cracks</pre>