کمپینهای وسیع بدافزاری در حال تولید ویدئوهای یوتیوبی میباشند که تروجانهای سارق رمز عبور را به بینندگان ناآگاه میفرستند. تروجانهای سارق رمزعبور بدافزارهایی هستند که به صورت مخفیانه بر روی رایانه اجرا میشوند، در حالی که رمز عبور، اسکرین شاتهای مرتبط با پنجرههای فعال، اطلاعات ذخیره شده کارت اعتباری در مرورگرها، رمز عبورهای FTP و فایلهای دلخواهی که مورد نظر عاملان تهدید است، به سرقت میبرند.
وقتی این نرمافزارها نصب شدند، با یک سرور فرمان و کنترل ارتباط برقرار کرده که در آن منتظر دستور اجرا از سوی هکر میمانند که میتواند شامل اجرای بدافزارهای بیشتر بر روی سیستم قربانی نیز باشد.
افزایش ویدئوهای بدافزاری یوتیوب
عاملان تهدید مدتهاست که از طریق توزیع لینک آلوده در توضیحات ویدئوهای تولیدی خود مشغول توزیع بدافزارها میباشند. به تازگی محققان امنیتی Cluster25 به نام Frost اعلام کردهاند که افزایش قابل ملاحظهای در شمار کمپینهای یوتیوبی دیده میشود که در حال ارسال و توزیع تروجانهای سارق رمز عبور میباشند.
این تیم اعلام کرده است به نظر دو جریان از فعالیتهای بدافزاری به صورت همزمان در حال انجام هستند، یکی از آنها بدافزار RedLine را توزیع میکند و دیگری نیز مشغول توزیع Racoon Stealer است. محققان گفتهاند که هزاران ویدئو و کانال نیز به عنوان بخشی از این کمپینهای بدافزاری ساخته شدهاند که در عرض تنها بیست دقیقه، ۱۰۰ ویدئوی جدید و ۸۱ کانال توزیع را ایجاد کردهاند.
Frost اعلام کرده است که عاملان تهدید از حسابهای گوگل سرقتی برای ایجاد کانالهای یوتیوب و توزیع بدافزار استفاده کرده و چرخهای بیپایان و در حال توزیع را ایجاد کردهاند. عاملان تهدید هزاران کانال جدید ایجاد کردهاند که هر روز کاربرانی جدیدی را آلوده میکند.
این حملات با ایجاد کانالهای متعدد شروع میشود و در خصوص کرک نرمافزاری، لایسنسها، نحوه کاربرد آنها، رمزارزها، ماینینگ، حقههای مرتبط با بازیهای رایانهای، نرمافزارهای VPN و بسیاری دیگر از دستهبندیهای معمول و به روز شبکه یوتیوب میباشند. این ویدئوها شامل محتویاتی است که توصیف میکند چگونه میتوان یک کاربرد خاص در نرمافزاری را اعمال کرد. همچنین، بخش توضیحات یوتیوب نیز شامل لینکهایی معتبر است که ابزارهای جانبی را در اختیار کاربر قرار میدهد.
اگر ویدیویی حاوی لینک bit.ly باشد، به سایت اشتراکگذاری فایل دیگری منتقل میشود که آلوده به بدافزار RedLine است. اگر این لینک دامنهای خلاصه شده نیز نداشته باشد، کاربر را به صحفهای با دامنه taplink(.)cc منتقل میکند که منجر به توزیع Racoon Stealer میشود. هنگامی که کاربر آلوده میشود، بدافزار تمام مرورگرهای نصب شده و سیستم را برای کیف پولهای ارز دیجیتال، کارتهای اعتباری، گذرواژهها و سایر دادهها اسکن میکند و آنها را برای مهاجم ارسال میکند.
علاوه بر این، شرکت گوگل کمپین فیشینگی را معرفی کرده است که مشغول توزیع تروجانهای سارق رمز عبور هستند. حسابهای سرقت شده در دارک وب یا شبکه تاریک به فروش گذاشته میشوند و یا برای استخراج ارز دیجیتال مورد استفاده قرار میگیرند.
خطرات دانلود نرمافزار
این کمپینها نشان میدهند که دانلود کردن برنامهها بهطور تصادفی از اینترنت تا چه اندازه میتواند خطرناک باشد، چرا که سایتهایی مانند YouTube قادر به بررسی هر لینکی که توسط ناشران ویدیو اضافه میشود، نخواهند بود.
بنابراین، کاربران باید قبل از دانلود و نصب هر برنامه سایت آن را بررسی کنند تا مشخص شود که آیا قابل اعتماد هست یا خیر. حتی پس از دانلود نیز پیشنهاد میشود که ابتدا برنامه را برای بررسی امنیت آن در سایت Virustotal آپلود کنید تا از صحت و سلامت آن باخبر باشید. اگر به طور تصادفی نیز گرفتار این نوع حمله شدید و برنامهای را از لینکی مشابه نصب کردید، اکیداً پیشنهاد میشود که سیستم خود را با یک آنتیویروس معتبر اسکن کنید. در نهایت نیز به سرعت رمز عبور خود را تغییر دهید تا قربانی حملات بعدی نشوید.
