YouTube-videókon keresztül terjedő rosszindulatú programok
A Cybereason megfigyelte, hogy a fenyegetés szereplői a régebbi YouTube-fiókokat kihasználva rosszindulatú programokra mutató linkeket (beleértve az információlopókat, például a Redline-t és a Racoonstealer-t, valamint más árucikkeket tartalmazó rosszindulatú programokat, például a SmokeLoader-t), amelyek népszerű fizetős szoftverek feltört verzióinak álcázzák magukat.
Több kutatói csoport számolt be arról, hogy a YouTube-ra feltöltött, mesterséges intelligencia által generált videókban feltört szoftvereket kínáltak, amelyek valójában rosszindulatú szoftverek voltak. Bár úgy tűnik, hogy az AI által generált videók használata visszaszorult, ez a támadási vektor továbbra is életképes, és a fenyegető szereplők még mindig aktívan kihasználják.
A Cybereason jelentésében ismerteti a YouTube-videókon alapuló fertőzés általános lefolyását, a kezdeti fiókok kihasználásától az ezt a támadási vektort kihasználó fenyegető szereplők által alkalmazott taktikákig, technikákig és eljárásokig (TTP-kig). Ismertetik egy konkrét fenyegető szereplő tevékenységét, aki túlnyomórészt ezt a támadási vektort használta egy alacsony költségű, hónapokig tartó kampányban. A kutatás során elsősorban a YouTube-fiókok kihasználására összpontosít, de fontos megjegyezni, hogy az itt kiemelt stratégiák más közösségi médiaoldalakon is alkalmazhatók.
A támadó először egy sor YouTube-csatorna felett szerez irányítást. Ezek általában több évesek, és több éve nem volt feltöltésük, ami arra utal, hogy az adatvédelmi incidensek során kiszivárgott régi hitelesítő adatokkal olyan fiókokhoz férhettek hozzá, amelyeket egyébként már felhagytak, de aktívak maradtak.
Miután a támadó átvette az irányítást egy fiók felett, feltölt egy rövid videót. Ez a videó kivétel nélkül eltér a csatornára korábban feltöltött tartalomtól, és jellemzően egységes stílusú az adott fenyegető szereplő által veszélyeztetett fiókok között, és népszerű fizetős szoftverek feltört változataihoz való hozzáférés ígéretével csalogatja az áldozatokat.
A veszélyeztetett hitelesítő adatok, ügyes átirányítások és az általánosan elérhető fájlmegosztási módszerek segítségével a fenyegető szereplők bebizonyították, hogy képesek hosszú távú sikeres kampányokat indítani népszerű webhelyeken keresztül, amelyek kihasználják az ingyenes szoftvereket kereső végfelhasználókat.
A kutatás során több, fenyegető szereplők által készített videót a YouTube a feltöltést követő napokon belül megjelölte és eltávolította, míg mások hónapokig tartottak anélkül, hogy észlelték volna őket.
Miközben a közösségi médiaoldalak – mint oly gyakran – továbbra is erőforrásokat fordítanak e támadási vektor életképességének mérséklésére, az egyének és szervezetek feladata, hogy biztosítsák a végpontok biztonságát az ilyen jellegű támadásoktól.