Kriminelle afpresser YouTube-skabere til at tilføje ondsindet krypto-minedriftsmalware til deres videoer, ifølge forskning fra cybersikkerhedsfirmaet Kaspersky.
Hackerne har udnyttet væksten i Rusland af Windows Packet Divert-drivere, som giver internetbrugere mulighed for at omgå geografiske begrænsninger.
Kasperskys systemer har registreret disse drivere på 2,4 millioner enheder i løbet af de seneste seks måneder, hvor hver efterfølgende måned siden september har set en stigning i downloads.
Populariteten af disse drivere har ført til en vækst i YouTube-videoer om, hvordan man downloader og installerer dem. Men kriminelle har endda fundet en måde at indsætte links til SilentCryptoMiner-malwaren i beskrivelserne af sådanne videoer.
En stadig mere almindelig taktik er at indgive et krav om ophavsret mod en video og derefter kontakte dens skaber og hævde at være den oprindelige udvikler af den driver, den diskuterer.
Ifølge Kaspersky var det lykkedes kriminelle at nå en populær YouTuber med 60.000 abonnenter og til sidst tilføje et ondsindet link til videoer med over 400.000 visninger.
Men i stedet for at føre til en legitim lagringsplads som GitHub tog de skyldige links seere til et inficeret arkiv, som siden har fået over 40.000 downloads.
Kaspersky vurderer, at ved at true YouTube-skabere med krav om ophavsret og nedtagninger har de skyldige kriminelle formået at inficere cirka 2.000 computere i Rusland med krypto-minedriftsmalware.
Sikkerhedsfirmaet antyder dog, at antallet kan være betydeligt højere, hvis man inkluderede andre kampagner, der er blevet lanceret i Telegram-kanaler.
Selvom krypto-minedriftsmalware har eksisteret i flere år nu, siger Leonid Bezvershenko – en sikkerhedsforsker i Kasperskys Global Research and Analysis Team – at presse skabere med falske ophavsretsklager er en mere aggressiv og unik taktik.
“Mens visse trusler – som minere og informations-typere – regelmæssigt udnytter sociale platforme til distribution, viser denne taktik med at tvinge influencere, hvordan cyberkriminelle udvikler sig,” fortæller han Decrypt. “Ved at udnytte tilliden mellem YouTubere og deres publikum skaber angribere muligheder for infektion i stor skala.”
Den minedriftsmalware, som angriberne bruger, SilentCryptoMiner, er baseret på den velkendte open-source miner XMRig og bruges til at mine tokens som Ethereum, Ethereum Classic, Monero og Ravencoin.
Den injecterer sig selv i en computers systemprocedurer via “process hollowing” og kan styres eksternt af dens ophavsmænd, der kan stoppe minedrift, når den originale systemprocedure er aktiv.
“I denne specifikke kampagne er de fleste ofre, vi identificerede, i Rusland, og selve malwaren var primært tilgængelig for russiske IP-adresser,” bekræfter Bezvershenko, som dog fastslår, at angribere ofte går derhen, hvor de ser en mulighed.
Denne seneste kampagne kommer på et tidspunkt, hvor krypto-minedriftsvira er blevet udbredt som en form for malware, med Center for Internet Security, der fandt ud af, at CoinMiner var den næstmest observerede malware i 2024, kun overgået af drive-by downloader SocGholish.
Og i december sidste år fandt cybersikkerhedsforskere hos ReversingLabs ud af, at angribere i stigende grad indsætter krypto-minedriftsmalware i populære open-source kodepakker og -værktøjer, som ofte kan tiltrække hundredetusinder af ugentlige downloads.
Selvom det måske kan være svært at undgå legitime, men inficerede kodepakker, hvis du er udvikler, råder Kaspersky generelle webbrugere til at være opmærksomme og verificere kilden til enhver download.
Som Bezvershenko siger: “Hvis en YouTube-skaber eller en guide beder dig om at deaktivere din antivirus eller hævder, at en fil er helt sikker, så behandle det med forsigtighed og udfør en yderligere sikkerhedskontrol.”
Redigeret af Stacy Elliott.
YouTubers presset til at promovere crypto-minedriftsmalware: Kaspersky
YouTubers presset til at promovere crypto-minedriftsmalware: Kaspersky
