Les pirates ciblent les utilisateurs via YouTube et Google pour distribuer des malwares voleurs de données !
Des cybercriminels exploitent YouTube et les résultats de recherche Google pour piéger les utilisateurs cherchant à télécharger des logiciels piratés ou crackés. Cette campagne, révélée par des chercheurs de Trend Micro, a pour objectif de diffuser des malwares de type "infostealer". Faisons le point sur cette menace.
Sommaire
Une méthode bien rodée
La méthode employée par les attaquants repose à la fois sur YouTube et sur Google. Tout d'abord, sur YouTube, les attaquants se font passer pour des créateurs de contenus proposant des tutoriels d'installation de logiciels populaires et payants (Adobe Lightroom, Autodesk, etc.). Les descriptions ou les commentaires des vidéos contiennent des liens vers des sites de téléchargements qui dissimulent des malwares.
Sur Google, ils manipulent les résultats de recherche pour des logiciels piratés, affichant, là encore, des liens menant à des sites de téléchargements. Tout est fait pour que le téléchargement semble fiable et pour rassurer l'utilisateur, mais ce dernier récupère un fichier infecté par un malware.
"Les attaquants utilisent des plateformes telles que YouTube et les médias sociaux pour partager des liens de téléchargement de faux installateurs afin de profiter de la confiance des utilisateurs et d'attirer des clics vers des sites malveillants.", précise les chercheurs en sécurité de Trend Micro dans leur rapport.
Les attaquants utilisent des plateformes connues comme Mediafire ou Mega.nz pour héberger leurs fichiers, rendant la détection et la suppression plus difficiles. Cela est d'autant plus vrai que les fichiers malveillants sont souvent protégés par mot de passe, afin de compliquer l'analyse par les systèmes de sécurité, notamment les sandbox.
Plusieurs logiciels malveillants distribués par cette campagne
Cette campagne rappelle une attaque précédente impliquant Lumma Stealer, un malware-as-a-service (MaaS) diffusé via des chaînes YouTube compromises. Il est notamment utilisé pour voler des informations sensibles sur les machines infectées, dont les mots de passe et les données des portefeuilles crypto. Comme souvent, cette collecte d'informations est effectuée dans les navigateurs Web.
Dans le cadre de cette campagne, les cybercriminels distribuent une variété importante de malware, incluant PrivateLoader, MarsStealer, Amadey, Penguish, et Vidar. Pour rappel, ce sont des liens malveillants postés sur YouTube ou référencés sur Google qui mènent à ces malwares.
Un phénomène plus large
Cette attaque s’inscrit dans une tendance plus générale. Par exemple, une campagne récente sur GitHub exploitait la confiance des développeurs pour dissimuler le malware Remcos RAT dans les commentaires de dépôts. "La multiplication des faux installateurs accompagnés de malwares infostealers constitue une menace croissante pour les utilisateurs à la recherche de logiciels piratés.", précise Trend Micro.
L'occasion de rappeler qu'il faut toujours se méfier des téléchargements non officiels, surtout lorsqu'il s'agit d'un lien proposé par une source tierce.
Sources : Trend Micro
