Как киберпреступники используют YouTube и GitHub для распространения вредоносного крипто ПО

В постоянно меняющейся ситуации с киберугрозами две платформы, которые традиционно считаются безопасными пространствами для создания контента, обучения и совместной работы с открытым исходным кодом, стали целями для распространения вредоносного ПО, нацеленного на кражу криптовалютных и персональных данных — YouTube и GitHub .

В 2024 году ландшафт угроз изменился, и киберпреступники применяют все более изощренные методы для эксплуатации этих платформ , пользуясь их широкой пользовательской базой и надежной репутацией.

Если вы создатель контента или специалист по данным, вы доверяете YouTube и GitHub как безопасным платформам, что делает их еще более опасными, когда они используются не по назначению. Почему эти платформы теперь стали целями для распространения крипто-вредоносного ПО ?

Рассмотрим причины:

• Большая пользовательская база: обе платформы имеют миллионы пользователей, что предоставляет киберпреступникам огромный круг потенциальных жертв.
• Открытый доступ: любой желающий может загрузить код на GitHub, что дает киберпреступникам возможность с легкостью скрывать вредоносные скрипты в, казалось бы, полезных проектах с открытым исходным кодом.
• Доверие и надежность: люди доверяют контенту, который находят в обучающих материалах YouTube или репозиториях GitHub, что упрощает маскировку вредоносных программ под легальное программное обеспечение или инструменты.
• Вовлеченность пользователей: активное взаимодействие с пользователями на этих платформах, например, добавление звезд в репозитории GitHub или просмотр обучающих видеороликов на YouTube, создает идеальную среду для быстрого распространения вредоносного ПО.
• Отсутствие контроля: многие пользователи скачивают файлы или следуют инструкциям популярных создателей контента, не задумываясь, что позволяет вредоносному ПО просачиваться незамеченным.

На заметку:  Платформы Malware-as-a-service (MaaS) делают сложное вредоносное ПО доступным для всех, кто готов платить, превращая киберпреступность в арендуемую услугу. Эти платформы часто предлагают различные пакеты, включая похитителей информации, таких как RedLine, которые нацелены на криптокошельки.

GitHub — платформа, традиционно используемая для обмена открытым исходным кодом — стала значимой целью кибератак . Его репутация надежного репозитория для разработчиков и технических энтузиастов позволяет злоумышленникам легко скрывать вредоносный код на виду, в основном нацеливаясь на криптокошельки и личную информацию.

Stargazers Ghost Network: пример из практики

В июле 2024 года Check Point Research обнаружила сложную сеть распространения вредоносного ПО как услуги (DaaS) под названием Stargazers Ghost Network. Эта вредоносная программа действовала на GitHub не менее года.

Эта сеть включала ряд аккаунтов-«призраков», которые выглядели легитимными, поскольку они занимались типичными для GitHub действиями, такими как добавление звездочек в репозитории и подписка на других пользователей. Это создавало иллюзию того, что это были обычные аккаунты, вносящие вклад в сообщество с открытым исходным кодом.

Однако эти аккаунты-призраки распространяли вредоносное ПО, встраивая вредоносные ссылки в свои репозитории GitHub. В одной особенно заметной кампании сеть распространила Atlantida Stealer, новое семейство вредоносных программ, предназначенных для кражи криптовалютных кошельков, учетных данных для входа и личной идентифицируемой информации (PII). В течение четырех дней более 1300 пользователей были инфицированы Atlantida Stealer через репозитории GitHub.

Семейства вредоносных программ, распространяемых сетью, включают Atlantida Stealer, Rhadamanthys, Lumma Stealer и RedLine.

Как им удалось злоупотребить GitHub ?

• README.md как троянский конь: Вы можете подумать, что файл README.md в репозитории GitHub — это просто обычное описание проекта или инструкции по использованию. В чем подвох? Такие файлы могут быть заполнены вредоносными ссылками, замаскированными под полезные ресурсы, чтобы увеличить количество подписчиков в социальных сетях, что приводит к фишингу или вредоносному ПО.
• Сила «звезд» и «форков»: в GitHub, когда проект получает много звезд или часто разветвляется, он кажется популярным и заслуживающим доверия. Киберпреступники пользуются этим, создавая несколько поддельных учетных записей (или учетных записей «призраков»), чтобы помечать звездами и разветвлять свои собственные репозитории, заставляя свой вредоносный код выглядеть легитимным. Чем больше звезд, тем более надежным кажется проект на первый взгляд. Пользователи часто доверяют проектам с высокой вовлеченностью, не вникая глубже в то, что предлагается.
• Постоянная ротация аккаунтов: Киберпреступники вроде Stargazers Ghost Network часто на шаг впереди. Чтобы избежать обнаружения, они постоянно создают новые аккаунты и меняют свои операции, что затрудняет прекращение их вредоносной деятельности даже после того, как платформа их забанит.
• Вредоносное ПО, скрытое в релизах: Вредоносные файлы скрываются в защищенных паролем архивах (например, .zip или .7z), что затрудняет их обнаружение. Эти файлы часто маскируются под легальное ПО и загружаются ничего не подозревающими пользователями.

Еще более тревожно то, как эти аккаунты-призраки стали бизнесом в даркнете (сдавались в аренду для повышения легитимности). Преступники взимали плату с других за то, что они ставили звездочки, разветвляли и делали вредоносные проекты заслуживающими доверия. Stargazers Ghost Network заработал около 100 000 долларов США через эти услуги.

Вы можете избежать попадания в ловушки киберпреступников, понимая вышеперечисленные приемы манипуляции.

На заметку: Когда вы «отмечаете» звездочкой репозиторий на GitHub, вы по сути добавляете его в закладки на будущее. Это способ показать свою признательность или интерес к проекту. Напротив, «разветвление» репозитория позволяет вам создать его копию. Это позволяет вам экспериментировать, вносить изменения или даже строить на основе исходного проекта, не затрагивая исходную версию.

С более чем 2,5 миллиарда пользователей YouTube стал популярной платформой для обучающих программ, развлекательного и образовательного контента. Эта огромная база пользователей делает его прибыльной целью для киберпреступников, желающих использовать ничего не подозревающих пользователей. Метод? Вводящие в заблуждение видео, поддельные обучающие программы и вредоносные ссылки, встроенные в описания видео.

Например, киберпреступники часто используют видеоролики, в которых якобы предлагаются «взломанные» версии популярного программного обеспечения формата AutoCAD, Adobe After Effects или Photoshop, привлекая пользователей, которые либо не хотят, либо не могут платить за легальные версии.

Многие не осознают, что следование этим видеоинструкциям может привести к загрузке вредоносного ПО, а не того программного обеспечения, на которое они рассчитывали.

Пример из реальной жизни: Lumma Stealer

Lumma Stealer циркулировало на YouTube в течение всего 2024 года. Оно предназначено для извлечения особо конфиденциальной информации, а именно сохраненные пароли браузера, файлы cookie и даже учетные данные криптовалютного кошелька.

Давайте разберемся, как это работает:

Вредоносное ПО, спрятанное в ZIP-файлах: киберпреступники упаковали вредоносное ПО в ZIP-файл, который пользователи могли загрузить в описании видео.

Обманчивые обучающие видеоролики: видеоролики были искусно замаскированы под обучающие видеоролики или «руководства» по установке программного обеспечения, но как только пользователи следовали инструкциям, они неосознанно заражали свои компьютеры.

Этот вид атаки использует доверие пользователей к YouTube. В конце концов, когда видео имеет сотни тысяч просмотров и положительных комментариев, оно не кажется чем-то, что может навредить вашему компьютеру. Именно это делает эти атаки такими эффективными: они плавно вписываются в легитимный контент.

Создатели вредоносных программ разработали высокоэффективный метод распространения вредоносных программ с помощью комментариев в публичных репозиториях GitHub. Эти комментарии часто включают ссылку на зашифрованный архив, размещенный на Mediafire [.] com, а также общий пароль «changeme» для доступа к файлу. После того как жертвы загружают и распаковывают архив, их данные становятся уязвимыми для взлома.

Перехват сессии и перехват стримов: растущие опасения

Киберпреступники также начали использовать более продвинутые методы, такие как перехват сеанса, для которого даже не требуются ваши пароли или учетные данные.

Вместо этого он перехватывает ваши сеансовые куки — небольшие файлы, которые отслеживают ваши активные сеансы на таких платформах, как YouTube или Google. С помощью этих сеансовых куки злоумышленники могут обойти двухфакторную аутентификацию (2FA) и получить доступ к вашим аккаунтам без необходимости знать ваш пароль.

В марте 2024 года была обнаружена вредоносная кампания, распространяющаяся через описания видео YouTube. Эта вредоносная программа была разработана для кражи сеансовых cookie-файлов, что позволяло злоумышленникам захватывать учетные записи пользователей и распространяться дальше.

В 2023 году компания Bitdefender, занимающаяся кибербезопасностью, выявила технику под названием «стримджекинг», которую киберпреступники использовали для взлома аккаунтов известных людей, часто содержащих поддельные материалы Илона Маска и Tesla, чтобы заманить пользователей в мошеннические схемы.

Используя фишинговые письма, замаскированные под предложения о сотрудничестве, хакеры устанавливают вредоносное ПО Redline Infostealer , получая контроль над аккаунтами даже с 2FA. Эти мошенники направляют пользователей на сайты криптомошенничества, используя вредоносные ссылки или QR-коды, встроенные в видео.

Оригинальный контент удаляется или скрывается, а описания изменяются, чтобы напоминать официальные каналы Tesla. После обнаружения подозрительной активности YouTube обычно закрывает эти аккаунты, что приводит к значительным потерям для законных владельцев, включая видео, подписчиков и монетизацию.

Фишинговые атаки часто используют обманные домены, чтобы заставить пользователей загрузить вредоносное ПО или раскрыть конфиденциальную информацию. Киберпреступники используют такие сайты, как pro -swapper[.] com, fenzor [.] com и vortex- cloudgaming [.] com, имитируя легитимные платформы, чтобы заманить жертв. Всегда проверяйте подлинность веб-сайтов перед загрузкой файлов или вводом личной информации.

Учитывая растущую распространенность кибератак, для пользователей как никогда важно соблюдать осторожность

• Контролируйте свои учетные записи: Многие платформы, включая Google и GitHub, позволяют вам видеть последние входы и устройства, подключенные к вашей учетной записи. Если что-то выглядит подозрительным, немедленно измените свои пароли и выйдите из всех сеансов.
• Используйте надежные уникальные пароли и включите 2FA: Хотя 2FA не является абсолютно надежным средством против перехвата сеанса, это все еще важный уровень защиты. Использование надежных уникальных паролей для каждой платформы также может помешать злоумышленникам получить доступ к нескольким учетным записям, если одна из них будет взломана.
• Используйте защищенную от фишинга многофакторную аутентификацию (MFA): выбирайте аппаратные ключи безопасности или биометрическую многофакторную аутентификацию (MFA) для более надежной защиты от фишинговых атак.
• Проверяйте ссылки перед нажатием: Всегда проверяйте легитимность ссылок в описаниях видео YouTube или репозиториях GitHub перед нажатием. Ищите признаки того, что что-то не так, например, сокращенные URL-адреса или домены, которые не соответствуют типичной структуре платформы.
• Скептично относитесь к предложениям бесплатного ПО: Будьте осторожны с любым видео или репозиторием GitHub, предлагающим взломанное ПО, особенно если оно требует загрузки файлов с незнакомых сайтов. Всегда скачивайте программное обеспечение от официальных, заслуживающих доверия источников.
• Регулярно обновляйте программное обеспечение: поддержание операционной системы, антивирусного программного обеспечения и приложений в актуальном состоянии имеет решающее значение для защиты от известных уязвимостей, которыми пользуются вредоносные программы.

К сожалению, тенденция использования YouTube и GitHub, для распространения вредоносного ПО не показывает никаких признаков замедления. Поскольку такие платформы продолжают расширяться, то же самое будет делать и изобретательность и изощренность киберпреступников, которые хотят их эксплуатировать.

Заглядывая вперед, киберпреступники, интегрирующие инструменты на базе ИИ, могут сделать эти атаки еще более сложными для обнаружения. Представьте себе аккаунты-призраки на базе ИИ, которые могут автономно взаимодействовать с пользователями, подгоняя фишинговые сообщения на основе взаимодействия в реальном времени и персонализированных ответов. Это может привести к более убедительной волне распространения вредоносного ПО, которую будет почти невозможно отличить от законной деятельности.

Понимание и минимизация этих рисков имеют решающее значение в мире, где криптовалюта становится все более популярной, а цифровые платформы становятся центральными во многих аспектах жизни.

Пользователям нужно сохранять бдительность, платформы должны ужесточать меры безопасности и сотрудничать с экспертами по кибербезопасности, разработчиками и другими ключевыми заинтересованными сторонами для обеспечения более безопасного цифрового будущего.