LEBIGDATA.FR I.A, Cloud & Cybersécurité
Des cybercriminels s’en prennent aux créateurs de contenu sur YouTube de plusieurs pays, notamment en Russie ! Ces pirates informatiques les forcent à partager des liens vers des logiciels malveillants sous la menace de perdre leur chaîne.
Actuellement, les menaces numériques sont de plus en plus nombreuses. Ainsi, les hackers exploitent l’un des plus grands canaux de communication en ligne pour les répandre. Récemment, l’équipe globale de recherche et d’analyse (GReAT) de Kaspersky a dévoilé une campagne malveillante où des cybercriminels exercent un chantage sur les youtubeurs. Ils les contraignent à diffuser des logiciels infectés via des liens de téléchargement.
Une campagne de malware qui exploite la confiance des abonnés ?
Selon l’équipe, ces attaquants déposent d’abord de fausses plaintes pour violation des droits d’auteur contre les créateurs ciblés. Une troisième plainte entraînerait la suppression définitive de leur chaîne. C’est d’ailleurs cette menace qui pousse certains à céder et à relayer ces liens malveillants.
Sous la menace de perdre leur travail, certains youtubeurs succombent à la pression et n’hésitent pas à faire la promotion. Toutefois, sans qu’ils ne le sachent, ils diffusent des liens piégés qui entraînent le téléchargement d’un logiciel malveillant.
D’après les données de Kaspersky, près de 2 000 utilisateurs ont été infectés par le malware SilentCryptoMiner. Ce dernier se fait passer pour un outil permettant de contourner certaines restrictions sur Internet.
L’une des chaînes compromises compte plus de 60 000 abonnés. Elle a publiée plusieurs vidéos qui contiennent ces liens frauduleux, accumulant plus de 400 000 vues. L’archive infectée, hébergée sur un site malveillant, a quant à elle été téléchargée plus de 40 000 fois, selon Kaspersky.
Comment le malware SilentCryptoMiner a-t-il été déployé ?
L’archive malveillante téléchargée depuis GitHub contient un chargeur de logiciels malveillants écrit en Python. Elle est exécuté via PowerShell à l’aide d’un script de démarrage modifié (« général.bat »). Ainsi, lorsqu’un antivirus bloque ce processus, le script affiche un message d’erreur indiquant « fichier introuvable ».
Cela incite donc l’utilisateur à désactiver sa protection et à retélécharger le fichier. Toutefois, l’exécutable ne récupère le chargeur de deuxième étape que si l’appareil possède une adresse IP russe, puis l’exécute.
Cette deuxième charge utile est un exécutable dont la taille a été artificiellement augmentée à 690 Mo afin d’échapper aux analyses antivirus. Il intègre également des mécanismes de détection pour éviter les environnements de bac à sable et les machines virtuelles.
Le chargeur désactive les protections de Microsoft Defender en y ajoutant une exclusion et installe un service Windows nommé « DrvSvc » pour garantir sa persistance après un redémarrage.
Enfin, il télécharge SilentCryptoMiner, une version modifiée de XMRig capable d’exploiter plusieurs crypto-monnaies (ETH, ETC, XMR, RTM).
Un malware plutôt difficile à détecter ?
Une fois toutes ces étapes terminées, le mineur récupère ses configurations depuis Pastebin toutes les 100 minutes, lui permettant d’être mis à jour dynamiquement.
Pour éviter que l’on ne le détecte, il s’injecte dans un processus système légitime comme « dwm.exe ». Par ailleurs, il suspend ses activités dès qu’un outil de surveillance tel que Process Explorer ou le Gestionnaire des tâches est lancé.
Heureusement, cette campagne découverte par Kaspersky cible principalement les utilisateurs russes. Néanmoins, je pense que les mêmes techniques peuvent être réutilisées pour diffuser d’autres logiciels malveillants à haut risque, comme des voleurs d’informations ou des ransomwares.
C’est la raison pour laquelle il est essentiel que les utilisateurs doivent éviter de télécharger des logiciels depuis des liens partagés dans des vidéos ou descriptions YouTube. C’est surtout à éviter s’ils proviennent de chaînes de petite ou moyenne taille. ils sont souvent vulnérables aux arnaques et au chantage.
Que pensez-vous de cette nouvelle technique des cybercriminels ? Partager votre avis dans les commentaires !
Restez à la pointe de l'information avec LEBIGDATA.FR !
- Partager l'article :
