«Лаборатория Касперского»: злоумышленники вынуждают YouTube-блогеров распространять майнер

Лаборатория Касперского: злоумышленники вынуждают YouTube-блогеров распространять майнер

Изображение: Hello I’m Nik (unsplash)

Специалисты из Kaspersky GReAT, подразделения «Лаборатории Касперского», занимающегося анализом киберугроз, выявили активную кампанию по распространению скрытого майнера, маскируемого под программы для обхода блокировок, использующих глубокий анализ трафика (DPI).

В рамках этой схемы злоумышленники вовлекают YouTube-блогеров, чьи каналы соответствуют нужной тематике, заставляя их размещать ссылки на вредоносные файлы.

Основной целью атакующих остаются пользователи из России. По данным компании, с заражёнными архивами столкнулись уже более 2 тыс. человек, но фактическое число пострадавших может быть значительно выше.

Использование YouTube-каналов

Один из способов распространения вредоносного ПО в рамках этой кампании — привлечение YouTube-блогеров. Так, владелец одного канала с аудиторией в 60 тыс. человек опубликовал несколько видео с инструкциями по обходу блокировок. Вероятно, его вынудили добавить в описание к роликам ссылку, которая якобы вела на инструменты, размещённые на GitHub.

Но на самом деле скачиваемый архив содержал вредоносное ПО. Видео набрали свыше 400 тыс. просмотров, а вредоносный файл, по данным счётчика, был загружен не менее 40 тыс. раз. Позднее вредоносную ссылку удалили.

Схема шантажа

В обсуждениях на репозитории эксперты обнаружили, что злоумышленники использовали новую тактику давления на блогеров. Они отправляли жалобы на видео с объяснением работы инструментов для обхода блокировок, выдавая себя за их разработчиков.

Затем, угрожая удалением YouTube-каналов за нарушение авторских прав, требовали разместить определённые ссылки. Возможно, владельцы каналов даже не подозревали, что распространяют вредоносное ПО.

SilentCryptoMiner

Попав на устройство жертвы, загруженный архив помимо заявленного программного обеспечения содержал троян, который устанавливал SilentCryptoMiner — скрытый майнер, использующий вычислительные мощности заражённых компьютеров для добычи криптовалюты.

Леонид Безвершенко, эксперт Kaspersky GReAT, отметил, что YouTube-блогеры — не единственный способ распространения SilentCryptoMiner. Аналитики обнаружили, что вредоносное ПО распространялось также через закрытые группы в мессенджерах, а один из YouTube-каналов с аудиторией в 340 тыс. подписчиков ссылался на такой источник. По его словам, существует вероятность, что аналогичная схема может использоваться для распространения других типов вредоносного ПО, а не только майнеров.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: