" В постоянно меняющемся ландшафте киберугроз две платформы, традиционно считавшиеся безопасными пространствами для создания контента, обучения и совместной работы с открытым исходным кодом, стали целями для распространения вредоносного ПО, направленного на кражу криптовалюты и личных данных.
Как же киберпреступники используют YouTube и GitHub для распространения вредоносного ПО и — более важный вопрос — как пользователю можно защитить себя?
Почему YouTube и GitHub являются мишенью для крипто-вредоносных программ
Если вы создатель контента или специалист по данным, вы доверяете YouTube и GitHub как безопасным платформам, что делает их еще более опасными, если ими злоупотребляют. Почему эти платформы теперь стали объектами распространения крипто-вредоносных программ?
Давайте выясним причины:
- Большая база пользователей: обе платформы имеют миллионы пользователей, что предлагает киберпреступникам огромный пул потенциальных жертв.
- Открытая доступность: любой может загрузить код на GitHub, предоставляя киберпреступникам возможность с легкостью скрывать вредоносные скрипты в кажущихся полезными проектах с открытым исходным кодом.
- Доверие и достоверность. Люди доверяют контенту, который они находят в обучающих материалах YouTube или репозиториях GitHub, что упрощает маскировку вредоносного ПО под законное программное обеспечение или инструменты.
- Вовлеченность пользователей. Активное взаимодействие с пользователями на этих платформах, например размещение репозиториев GitHub или просмотр руководств на YouTube, создает идеальную среду для быстрого распространения вредоносного ПО.
- Отсутствие контроля: многие пользователи загружают файлы или следуют инструкциям популярных создателей контента, не задумываясь, что позволяет вредоносному ПО проникнуть незамеченным.
Для сведения: платформы «Вредоносное ПО как услуга» (MaaS) делают сложное вредоносное ПО доступным для всех, кто готов платить, превращая киберпреступность в арендуемую услугу. Эти платформы часто предлагают различные пакеты, в том числе программы для кражи информации, такие как RedLine, нацеленные на криптокошельки.
Как крипто-вредоносное ПО распространяется через GitHub
GitHub — платформа, традиционно используемая для обмена открытым исходным кодом, — стала серьезной целью кибератак. Его репутация надежного хранилища для разработчиков и технических энтузиастов позволяет злоумышленникам легко скрывать вредоносный код на виду, в основном нацеливаясь на криптокошельки и личную информацию.
Сеть «Звездочеты-призраки»: практический пример
В июле 2024 года компания Check Point Research обнаружила сложную сеть распространения вредоносного ПО как услуги (DaaS) под названием Stargazers Ghost Network. Это вредоносное ПО работало на GitHub не менее года.
В этой сети участвовал ряд «призрачных» учетных записей, которые выглядели законными, поскольку они занимались типичными действиями GitHub, такими как добавление репозиториев в избранное и подписка на других пользователей. Это создавало иллюзию, что это обычные учетные записи, вносящие вклад в сообщество открытого исходного кода.
Однако эти учетные записи-призраки распространяли вредоносное ПО, встраивая вредоносные ссылки в свои репозитории GitHub. В ходе одной особенно заметной кампании сеть распространила Atlantida Stealer, новое семейство вредоносных программ, предназначенных для кражи криптовалютных кошельков, учетных данных для входа и личной информации (PII). За четыре дня более 1300 пользователей были заражены Atlantida Stealer через репозитории GitHub.
Семейства вредоносных программ, распространяемые в сети, включают Atlantida Stealer, Rhadamanthys, Lumma Stealer и RedLine.
Источник: checkpoint.com.
Как они смогли злоупотребить GitHub? Давайте выясним.
- README.md как троянский конь. Можно подумать, что файл README.md в репозитории GitHub — это просто обычное описание проекта или инструкция по использованию. Однако такие файлы могут быть наполнены вредоносными ссылками, замаскированными под полезные ресурсы для увеличения числа ваших подписчиков в социальных сетях, что приводит к фишингу или вредоносному ПО.
- Сила «звезд» и «форков». В GitHub, когда проект получает много звезд или часто разветвляется, он выглядит популярным и заслуживающим доверия. Киберпреступники пользуются этим, создавая несколько фейковых учетных записей (или «призрачных» учетных записей), чтобы запускать и разветвлять свои собственные репозитории, придавая своим вредоносному коду вид легитимного. Чем больше звезд, тем более правдоподобным кажется на первый взгляд проект. Пользователи часто доверяют проектам с высоким уровнем вовлеченности, не вникая глубже в то, что им предлагают.
- Постоянная ротация учетных записей. Киберпреступники, такие как Stargazers Ghost Network, часто оказываются на шаг впереди. Чтобы избежать обнаружения, они постоянно создают новые учетные записи и меняют свою деятельность, что затрудняет прекращение их вредоносной деятельности даже после того, как платформа их заблокирует.
- Вредоносные программы, скрытые в выпусках. Вредоносные файлы спрятаны в архивах, защищенных паролем (например, в файлах .zip или .7z), что затрудняет их обнаружение. Эти файлы часто маскируются под легальное программное обеспечение и загружаются ничего не подозревающими пользователями.
Источник: checkpoint.com.
Возможно, еще более тревожным является то, как эти учетные записи-призраки превратились в даркнет-бизнес (сдаваемый в аренду для повышения легитимности). Преступники обвиняли других в том, что они играли главную роль, создавали форки и создавали впечатление, что вредоносные проекты заслуживают доверия. С помощью этих услуг Stargazers Ghost Network заработала около 100 000 долларов. Вы можете избежать попадания в ловушки киберпреступников, разобравшись в описанных выше методах манипуляции.
Источник: checkpoint.com.
Для сведения: когда вы «помечаете» репозиторий на GitHub, вы, по сути, добавляете его в закладки на будущее. Это способ выразить свою признательность или интерес к проекту. Напротив, «разветвление» репозитория позволяет вам создать его копию. Это позволяет вам экспериментировать, вносить изменения или даже развивать исходный проект, не затрагивая исходную версию.
Как крипто-вредоносное ПО скрывается на YouTube
YouTube, насчитывающий более 2,5 миллиардов пользователей, стал популярной платформой для учебных пособий, развлекательного и образовательного контента. Эта огромная база пользователей делает его прибыльной целью для киберпреступников, желающих эксплуатировать ничего не подозревающих пользователей. Они используют вводящие в заблуждение видеоролики, поддельные руководства и вредоносные ссылки, встроенные в описания видео.
Например, киберпреступники часто используют видеоролики, которые утверждают, что предлагают «взломанные» версии популярного программного обеспечения, такого как AutoCAD, Adobe After Effects или Photoshop, привлекая пользователей, которые либо не хотят, либо не могут платить за законные версии.
Источник: welivesecurity.com.
Многие не осознают, что следование этим видеоинструкциям может привести к загрузке вредоносного ПО, а не того программного обеспечения, которое они надеялись получить.
Реальный пример: Lumma Stealer
Вредоносное ПО Lumma Stealer циркулировало на YouTube на протяжении 2024 года. Оно предназначено для извлечения высококонфиденциальной информации, такой как сохраненные пароли браузера, файлы cookie и даже учетные данные криптовалютного кошелька.
Давайте разберемся, как это работает:
- Вредоносное ПО, спрятанное в ZIP-файлах. Киберпреступники упаковали вредоносное ПО в ZIP-файл, который пользователям предлагалось загрузить через описание видео.
- Обманчивые обучающие видеоролики: видеоролики были умело замаскированы под обучающие материалы или инструкции по установке программного обеспечения, но как только пользователи следовали инструкциям, они неосознанно заражали свои компьютеры.
Источник: gendigital.com.
Этот вид атаки использует доверие пользователей к YouTube. В конце концов, когда у видео сотни тысяч просмотров и положительных комментариев, оно не кажется чем-то, что может нанести вред вашему компьютеру. Именно это делает эти атаки такими эффективными: они легко сливаются с законным контентом.
Для сведения: создатели вредоносного ПО разработали высокоэффективный метод распространения вредоносного ПО с помощью комментариев в общедоступных репозиториях GitHub. Эти комментарии часто содержат ссылку на зашифрованный архив, размещенный на Mediafire[.]com, а также общий пароль «changeme» для доступа к файлу. Как только жертвы загружают и распаковывают архив, их данные становятся уязвимыми для компрометации.
Перехват сеанса и потока: растущая обеспокоенность
Киберпреступники также начали использовать более продвинутые методы, такие как перехват сеанса, для которого даже не требуются ваши пароли или учетные данные.
Вместо этого он захватывает файлы cookie сеанса — небольшие файлы, которые отслеживают ваши активные сеансы на таких платформах, как YouTube или Google. С помощью этих файлов cookie сеанса злоумышленники могут обойти двухфакторную аутентификацию (2FA) и получить доступ к вашим учетным записям без необходимости ввода пароля.
В марте 2024 года была обнаружена вредоносная кампания, распространявшаяся через описания видео на YouTube. Это вредоносное ПО было разработано для кражи сеансовых файлов cookie, что позволяет злоумышленникам захватывать учетные записи пользователей и распространяться дальше.
В 2023 году компания Bitdefender, занимающаяся кибербезопасностью, выявила технику под названием «stream-jacking», которую киберпреступники использовали для взлома высокопоставленных учетных записей, часто содержащих дипфейки контента Илона Маска и Tesla, чтобы заманить пользователей в мошеннические схемы.
Используя фишинговые письма, замаскированные под предложения о сотрудничестве, хакеры устанавливают вредоносное ПО Redline Infostealer, получая контроль над учетными записями даже с помощью 2FA. Эти мошенники направляют пользователей на сайты криптомошенников, используя вредоносные ссылки или QR-коды, встроенные в видео.
Исходный контент удаляется или скрывается, а описания изменяются так, чтобы напоминать официальные каналы Tesla. После обнаружения подозрительной активности YouTube обычно закрывает эти аккаунты, что приводит к значительным потерям для законных владельцев, включая видео, подписчиков и монетизацию.
Для сведения: фишинговые атаки часто используют обманные домены, чтобы заставить пользователей загрузить вредоносное ПО или раскрыть конфиденциальную информацию. Киберпреступники используют такие сайты, как pro-swapper[.]com, fenzor[.]com и vortex-cloudgaming[.]com, имитируя законные платформы, чтобы заманить жертв. Всегда проверяйте подлинность веб-сайтов перед загрузкой файлов или вводом личной информации.
Ключевые способы защитить себя от крипто-вредоносных программ на YouTube и GitHub
Учитывая растущую распространенность кибератак, пользователям как никогда важно проявлять бдительность. Вот несколько способов защитить себя:
- Контролируйте свои учетные записи. Многие платформы, включая Google и GitHub, позволяют вам видеть последние входы в систему и устройства, подключенные к вашей учетной записи. Если что-то выглядит подозрительно, немедленно измените пароли и выйдите из всех сеансов.
- Используйте надежные и уникальные пароли и включите 2FA. Хотя 2FA не является надежным средством защиты от перехвата сеанса, он все же является важным уровнем защиты. Использование надежных уникальных паролей для каждой платформы также может предотвратить доступ злоумышленников к нескольким учетным записям, если одна из них скомпрометирована.
- Используйте устойчивый к фишингу MFA. Выбирайте аппаратные ключи безопасности или MFA на основе биометрических данных для более надежной защиты от фишинговых атак.
- Проверяйте ссылки перед нажатием: всегда проверяйте легитимность ссылок в описаниях видео YouTube или репозиториях GitHub, прежде чем нажимать. Ищите признаки того, что что-то не так, например сокращенные URL-адреса или домены, которые не соответствуют типичной структуре платформы.
- Скептически относитесь к предложениям бесплатного программного обеспечения: если что-то кажется слишком хорошим, чтобы быть правдой, возможно, так оно и есть. Будьте осторожны с любыми видео или репозиториями GitHub, предлагающими взломанное программное обеспечение, особенно если для этого требуется загрузка файлов с незнакомых сайтов. Всегда загружайте программное обеспечение из официальных, проверенных источников.
- Регулярно обновляйте программное обеспечение. Поддержание актуальности вашей операционной системы, антивирусного программного обеспечения и приложений имеет решающее значение для защиты от известных уязвимостей, которыми пользуются вредоносные программы.
Будущее распространения вредоносного ПО
К сожалению, тенденция использования таких платформ, как YouTube и GitHub, для распространения вредоносного ПО не демонстрирует никаких признаков замедления. По мере того как такие платформы продолжают расширяться, будут расти и изобретательность и изощренность киберпреступников, стремящихся их использовать.
Заглядывая в будущее, можно сказать, что киберпреступники, интегрирующие инструменты на базе искусственного интеллекта, могут еще больше усложнить обнаружение этих атак. Представьте себе учетные записи-призраки, управляемые искусственным интеллектом, которые могут автономно взаимодействовать с пользователями, адаптируя фишинговые сообщения на основе взаимодействия в реальном времени и персонализированных ответов. Это может привести к более убедительной волне распространения вредоносного ПО, которую практически невозможно будет отличить от законной деятельности.
Понимание и смягчение этих рисков имеет решающее значение в мире, где распространение криптовалюты растет , а цифровые платформы становятся центральными во многих аспектах жизни.
Пользователи должны сохранять бдительность, платформы должны усилить меры безопасности и сотрудничество между экспертами по кибербезопасности, разработчиками и другими ключевыми заинтересованными сторонами, чтобы обеспечить более безопасное цифровое будущее.
