YouTube: avvisi di violazioni del copyright fake diffondono virus

Alcuni cybercriminali hanno inviato false richieste di copyright agli youtuber per costringerli a promuovere malware e miner di criptovalute nei loro video. Gli autori delle minacce sfruttano la popolarità degli strumenti Windows Packet Divert (WPD) sempre più utilizzati in Russia. Infatti, questi tool aiutano gli utenti a bypassare la censura su internet e le restrizioni imposte dal governo su siti web e servizi online. Alcuni creator che si rivolgono a questo target pubblicano tutorial su come utilizzare diversi strumenti basati su WPD per aggirare la censura. Tuttavia, vengono presi di mira da malintenzionati che si spacciano per i detentori del copyright di questi strumenti.

Nella maggior parte dei casi visti da Kaspersky, gli hacker affermano di essere gli sviluppatori originali dello strumento di aggiramento delle restrizioni presentato. A questo punto presentano un reclamo per violazione del copyright a YouTube e quindi contattando il creatore per offrire una risoluzione sotto forma di inclusione di un link per il download da loro fornito. Allo stesso tempo, minacciano che la non conformità comporterà nei casi più gravi a un ban del canale dalla piattaforma. Gli aggressori possono anche contattare direttamente il creator, affermando che il tool ha una nuova versione o un nuovo link per il download. A questo punto chiedono allo youtuber di modificarlo nel proprio video.

I creator, temendo di perdere i loro canali, cedono alle richieste degli autori della minaccia e accettano di aggiungere link nei loro video ai repository GitHub. Tuttavia, si tratta di versioni trojanizzate che includono invece un downloader cryptominer. Kaspersky ha visto questa promozione di strumenti WPD laced avvenire su un video di YouTube che ha generato oltre 400.000 visualizzazioni. Il link dannoso ha raggiunto 40.000 download prima di essere rimosso.

Youtube: come funziona il malware SilentCryptoMiner

Il file dannoso condiviso sfruttando YouTube contiene un malware loader basato su Python che viene avviato tramite PowerShell tramite uno script di avvio modificato ('general.bat'). Se l'antivirus della vittima interrompe questo processo, lo script di avvio invia un messaggio di errore 'file non trovato' che suggerisce all'utente di disattivare l'antivirus e di scaricare nuovamente il file. L'eseguibile recupera il loader di seconda fase solo per gli indirizzi IP russi e lo esegue sul dispositivo. Il payload di seconda fase è un altro eseguibile le cui dimensioni sono state aumentate a 690 MB per eludere l'analisi antivirus, mentre presenta anche controlli anti-sandbox e di macchine virtuali.

Il malware loader disattiva le protezioni di Microsoft Defender aggiungendo un'esclusione e crea un servizio Windows denominato "DrvSvc" per la persistenza tra i riavvii. Alla fine, scarica il payload finale, SilentCryptoMiner, una versione modificata di XMRig in grado di estrarre più criptovalute, tra cui ETH, ETC, XMR e RTM. Il coin miner recupera configurazioni remote da Pastebin ogni 100 minuti in modo che possa essere aggiornato dinamicamente. Per elusione, viene caricato in un processo di sistema come "dwm.exe" utilizzando il process hollowing. Infine, sospende l'attività di estrazione quando l'utente avvia strumenti di monitoraggio come Process Explorer e Task Manager.

La campagna scoperta da Kaspersky ha come target principalmente gli utenti YouTube russi. Tuttavia, le stesse tattiche potrebbero essere adottate per operazioni di portata più ampia che distribuiscono anche malware ad alto rischio come info-stealer o ransomware. Gli utenti dovrebbero evitare di scaricare software da URL in video o descrizioni di YouTube, in particolare da canali di piccole e medie dimensioni che sono più suscettibili a truffe e ricatti.