Шантаж на YouTube: блогеров заставляют распространять вирус-майнер
Россия стала главной целью атаки: 40 000 загрузок заражённого файла.
Эксперты из «Лаборатории Касперского» выявили кампанию по распространению скрытого майнера для ПК, замаскированного под инструменты обхода блокировок, основанных на глубоком анализе трафика (DPI). В атаке задействованы YouTube-блогеры, которых шантажируют, вынуждая публиковать ссылки на заражённые файлы. Целью преступников являются российские пользователи, и, по данным компании, с вредоносным ПО уже столкнулись более 2000 человек.
Одним из инструментов распространения зловреда стали YouTube-каналы. Один из блогеров с аудиторией 60 000 подписчиков выпустил несколько роликов с инструкцией по обходу блокировок. «Вероятно, с ним связались злоумышленники и с помощью шантажа убедили его добавить в описание к сюжетам ссылку якобы на соответствующие инструменты, которые хранятся на GitHub. Однако на самом деле по ссылке располагался заражённый архив», — отметили в компании. Видео собрало более 400 000 просмотров, а вредоносный файл был скачан как минимум 40 000 раз. Позже ссылка была удалена.
В обсуждениях на репозитории эксперты обнаружили рассказы пользователей о новой схеме шантажа: злоумышленники отправляли блогерам жалобы на видео, в котором объяснялось, как пользоваться инструментами для обхода блокировок. Атакующие делали это от имени якобы разработчиков этих инструментов. Затем злоумышленники шантажировали создателей контента удалением YouTube-канала под предлогом нарушения авторских прав, требуя в обмен на «помощь» опубликовать ролики с определёнными ссылками. Возможно, блогеры не знали, что распространяют таким образом ссылки на зловредные файлы.
Если пользователь скачивает архив, на его устройство вместе с инструментами устанавливается троян, загружающий SilentCryptoMiner — скрытый майнер, использующий мощности заражённого ПК для добычи криптовалюты.
Видеоблогеры оказались не единственным инструментом распространения вредоносного ПО в рамках данной кампании. Эксперты обнаружили закрытый канал в мессенджере, на котором находилась заражённая сборка. Доступ к нему обеспечивался через ссылку, размещённую на YouTube-канале, имеющем 340 тысяч подписчиков. По мнению специалистов, этот метод может применяться не только для распространения скрытых майнеров, но и других видов вредоносного программного обеспечения.