Несмотря на все усилия YouTube, мошенникам удается провести хитрую кампанию.
ИБ-компания Proofpoint сообщает, что хакеры распространяют вредоносные программы через YouTube-каналы, которые продвигают взломанные видеоигры. Киберпреступники размещают в описаниях видео ссылки на сайты, с помощью которых доставляются инфостилеры Vidar, StealC и Lumma Stealer.
Мошенники используют скомпрометированные аккаунты реальных пользователей. Также были обнаружены аккаунты, которые работали всего несколько часов и создавались исключительно для распространения вредоносных программ.
В Proofpoint выразили обеспокоенность тем, что такие действия мошенников могут затронуть детей и подростков, которые часто не имеют опыта распознавания потенциально вредоносного контента и могут с большей вероятностью взаимодействовать с ним. Особенно тревожно то, что кампания, скорее всего, повлияет на пользователей, играющих на домашних компьютерах, которые содержат большое количество личной и конфиденциальной информации.
YouTube уже удалил более 24 аккаунтов и вредоносных видео. Представитель YouTube сообщил, что на платформе действуют политики, запрещающие пользователям размещать в описаниях контент, нарушающий правила YouTube, включая вредоносные программы.
Вредоносное ПО в основном распространялось через ссылки на файловый хостинг MediaFire, но в некоторых случаях использовались ссылки на Discord-каналы, которые предлагали к скачиванию замаскированное вредоносное ПО.
В одном из примеров аккаунт с 113 000 подписчиков был скомпрометирован или продан злоумышленнику, который начал использовать его во вредоносных целях. Ранее аккаунт публиковал видео на тайском языке и был неактивен около года, после чего в течение 24 часов было размещено 12 новых видео на английском языке, связанных с видеоиграми или взломом программного обеспечения.
Proofpoint не смогла идентифицировать хакеров, стоящих за кампанией, и не смогла приписать ее какой-либо известной группировке, отметив, что деятельность была разделена на несколько отдельных кластеров.
Таким образом, хакеры целятся в игроков видеоигр, которые, как правило, не обладают такими же ресурсами или знаниями для защиты от атак, как корпоративные пользователи. Несмотря на то, что большинство описанных компрометаций, вероятно, не приведут к большим финансовым выигрышам, у игроков обычно есть доступ к некоторым видам кредитных карт, криптовалют или другой личной информации, которую можно продать.
