Kampania phishingowa na YouTube

Jak wyglądają złośliwe filmy?

Podmioty zajmujące się phishingiem od dawna wykorzystują filmy z YouTube jako sposób na rozpowszechnianie złośliwego oprogramowania za pomocą linków osadzonych w opisach filmów, a w treści nakłanianie do kliknięcia. Jednak w tym tygodniu badacz bezpieczeństwa Cluster25 powiedział, że nastąpił znaczny wzrost kampanii złośliwego oprogramowania na YouTube, które wypychają różne trojany kradnące hasła. Według specjalisty prawdopodobnie dwa ogniska szkodliwej aktywności są prowadzone jednocześnie – jeden wypycha złośliwe oprogramowanie RedLine, a drugi Racoon Stealer.

Badacz powiedział, że w ramach tej ogromnej kampanii powstało tysiące filmów i kanałów, z czego 100 nowych filmów i 81 kanałów powstało w ciągu zaledwie dwudziestu minut! Cyberprzestępcy wykorzystują konta Google, które kradną, do uruchamiania nowych, złośliwych kanałów YouTube, tworząc niekończący się i stale rosnący cykl.

Ataki zaczynają się od tego, że cyberprzestępcy tworzą liczne kanały YouTube wypełnione filmami o crackowaniu oprogramowania, licencjach, poradnikach, kryptowalutach, kodach do gier, oprogramowaniu VPN, czyli po prostu trafiają w trendy technologiczne.

Powyższe filmy zawierają treści o kategorii poradników – jak wykonać zadanie przy użyciu określonego programu lub narzędzia. Ponadto opis filmu zawiera rzekomy link do powiązanego narzędzia, który de facto używany jest do rozpowszechniania złośliwego oprogramowania.

Jeśli film zawiera w opisie link skrócony, np. bit.ly, spowoduje to przejście do innej witryny udostępniającej pliki, na której znajduje się już docelowa infekcja złośliwym oprogramowaniem RedLine. Jeśli jednak zawiera nieskróconą domenę, przekieruje do strony w domenie taplink[.]cc, aby wypchnąć Racoon Stealer, jak pokazano poniżej.

Gdy użytkownik zostanie zainfekowany, złośliwe oprogramowanie rozpocznie skanowanie wszystkich zainstalowanych przeglądarek i komputera w poszukiwaniu portfeli kryptowalut, kart kredytowych, haseł i innych danych, a następnie prześle je z powrotem do atakującego.

Google powiedział ostatnio BleepingComputer, że jest świadomy tej kampanii i podejmuje działania mające na celu zakłócenie jej działalności.

„Zdajemy sobie sprawę z tej kampanii i obecnie podejmujemy działania w celu zablokowania aktywności tego podmiotu odpowiedzialnego za zagrożenie i oznaczania wszystkich linków do bezpiecznego przeglądania. Jak zawsze stale ulepszamy nasze metody wykrywania i inwestujemy w nowe narzędzia i funkcje, które automatycznie identyfikują i powstrzymują zagrożenia jak to. Ważne jest również, aby użytkownicy byli świadomi tego typu zagrożeń i podejmowali odpowiednie działania w celu dalszej ochrony”. – Google.

Google ujawniło również w tym tygodniu kampanię phishingową, która rozpowszechniała trojany kradnące hasła wykorzystywane do kradzieży kont twórców YouTube. Konta te były następnie sprzedawane w Darknecie lub wykorzystywane do przeprowadzania oszustw kryptowalutowych.

Kampanie takie jak te pokazują, jak ważne jest, aby nie pobierać programów z Internetu z przypadkowo klikniętego łącza. Serwisy takie jak YouTube nie mogą zweryfikować każdego linku dodanego przez twórców, dlatego zawsze należy stosować zasadę ograniczonego zaufania.

Użytkownik powinien zbadać witrynę przed pobraniem i zainstalowaniem z niej czegokolwiek, aby określić, czy ma dobrą reputację i można jej zaufać. Zawsze można przesłać pobrany program na stronę taką jak VirusTotal, aby sprawdzić, czy można go bezpiecznie uruchomić.