Ngày 13 tháng 3 năm 2023Ravie Lakshmanan Đe dọa mạng / Kỹ thuật xã hội
Người ta ngày càng quan sát thấy các tác nhân đe dọa sử dụng các Video YouTube do AI tạo để phát tán nhiều loại phần mềm độc hại ăn cắp như Raccoon, RedLine và Vidar.
“Các video thu hút người dùng bằng cách giả vờ là hướng dẫn về cách tải xuống các phiên bản bẻ khóa của phần mềm như Photoshop, Premiere Pro, Autodesk 3ds Max, AutoCAD và các sản phẩm khác là sản phẩm được cấp phép chỉ dành cho người dùng trả phí”, Pavan Karthick M, nhà nghiên cứu của CloudSEK. nói.
Giống như bối cảnh ransomware bao gồm các nhà phát triển cốt lõi và các chi nhánh chịu trách nhiệm xác định các mục tiêu tiềm năng và thực sự thực hiện các cuộc tấn công, hệ sinh thái của kẻ đánh cắp thông tin cũng bao gồm các tác nhân đe dọa được gọi là kẻ buôn người được tuyển dụng để phát tán phần mềm độc hại bằng các phương pháp khác nhau.
Một trong những kênh phân phối phần mềm độc hại phổ biến là YouTube, với CloudSEK chứng kiến mức tăng 200-300% hàng tháng đối với các video chứa liên kết đến phần mềm độc hại đánh cắp trong phần mô tả.
Các liên kết này thường bị xáo trộn bằng cách sử dụng các công cụ rút ngắn URL như Bitly và Cuttly hoặc được lưu trữ thay thế trên MediaFire, Google Drive, Discord, GitHub và Telegram's Telegra.ph.
Trong một số trường hợp, những kẻ đe dọa tận dụng rò rỉ dữ liệu và kỹ thuật xã hội để chiếm quyền điều khiển các tài khoản YouTube hợp pháp và phát tán phần mềm độc hại, thường nhắm mục tiêu các tài khoản phổ biến để tiếp cận lượng lớn khán giả trong một khoảng thời gian ngắn.
Karthick giải thích: “Việc tải lên các tài khoản như vậy cũng cho thấy tính hợp pháp của video. “Tuy nhiên, những Youtuber như vậy sẽ báo cáo kẻ chiếm đoạt tài khoản của họ với YouTube và lấy lại quyền truy cập vào tài khoản của họ trong vòng vài giờ. Nhưng trong vài giờ, hàng trăm người dùng có thể trở thành con mồi.”
Đáng ngại hơn, bất cứ nơi nào có từ 5 đến 10 video tải xuống crack được tải lên nền tảng video mỗi giờ, với những kẻ đe dọa sử dụng các kỹ thuật đầu độc tối ưu hóa công cụ tìm kiếm (SEO) để làm cho các video xuất hiện ở đầu danh sách.
Người ta cũng quan sát thấy những kẻ đe dọa đã thêm các bình luận giả mạo vào các video đã tải lên để gây hiểu lầm hơn nữa và lôi kéo người dùng tải xuống phần mềm bẻ khóa.
Sự phát triển diễn ra trong bối cảnh các biến thể đánh cắp thông tin mới như SYS01stealer, S1deload, Stealc, Titan, ImBetter, WhiteSnake và Lumma được rao bán và đi kèm với khả năng đánh cắp dữ liệu nhạy cảm dưới vỏ bọc của các ứng dụng và dịch vụ phổ biến.
Những phát hiện này cũng theo sau việc phát hiện ra một bộ công cụ sẵn sàng sử dụng có tên R3NIN Sniffer có thể cho phép các tác nhân đe dọa hút dữ liệu thẻ thanh toán từ các trang web thương mại điện tử bị xâm nhập.
Để giảm thiểu rủi ro do phần mềm độc hại đánh cắp gây ra, người dùng nên bật xác thực đa yếu tố, không nhấp vào các liên kết không xác định và tránh tải xuống hoặc sử dụng phần mềm vi phạm bản quyền.
