Dans le paysage en constante évolution des cybermenaces, deux plateformes traditionnellement considérées comme des espaces sécurisés pour la création de contenu, l'apprentissage etopen-sourcecollaboration sont devenus des cibles pour la distribution de logiciels malveillants visant à voler des crypto-monnaies et des données personnelles - YouTube etGitHub.

En 2024, le paysage des menaces a changé et les cybercriminels utilisent de plus en plusméthodes sophistiquées pour exploiter ces plateformes, en profitant de leurs vastes bases d'utilisateurs et de leurs réputations de confiance.

Alors, comment les cybercriminels utilisent-ils YouTube et GitHub pour propager des logiciels malveillants et comment pouvez-vous vous protéger?

Pourquoi YouTube et GitHub sont des cibles pour les logiciels malveillants de cryptographie

Si vous êtes un créateur de contenu ou un data scientist, vous faites confiance à YouTube et GitHub pour être des plateformes sûres, ce qui les rend d'autant plus dangereuses lorsqu'elles sont utilisées de manière abusive. Pourquoi ces plateformes sont-elles maintenant des cibles pourcrypto malwaredistribution?

Découvrons les raisons:

Large user base: Les deux plateformes comptent des millions d'utilisateurs, offrant aux cybercriminels un immense bassin de victimes potentielles.

Accessibilité ouverte : n'importe qui peut télécharger du code sur GitHub, offrant ainsi aux cybercriminels une opportunité à faible barrière de cacher des scripts malveillants dans ce qui semble être des projets open-source utiles.

Confiance et crédibilité : Les gens font confiance au contenu qu'ils trouvent sur les tutoriels YouTube ou les dépôts GitHub, ce qui rend plus facile de dissimuler des logiciels malveillants en tant que logiciels ou outils légitimes.

Engagement de l'utilisateur: Une interaction élevée des utilisateurs sur ces plateformes, telle que l'étoilement des dépôts GitHub ou le visionnage de tutoriels YouTube, crée un environnement idéal pour propager rapidement des logiciels malveillants.

Manque de vérification : de nombreux utilisateurs téléchargent des fichiers ou suivent les instructions de créateurs de contenu populaires sans réfléchir, permettant aux logiciels malveillants de passer inaperçus.

Saviez-vous ? Les plates-formes de logiciels malveillants en tant que service (MaaS) rendent des logiciels malveillants sophistiqués disponibles à toute personne prête à payer, transformant la cybercriminalité en un service louable. Ces plates-formes offrent souvent différentes options, y compris des voleurs d'informations comme RedLine, qui ciblent les portefeuilles de crypto-monnaie.

Comment les logiciels malveillants cryptographiques sont diffusés via GitHub

GitHub - une plateforme traditionnellement utilisée pour partager du code open source - est devenue une cible importante d'attaques cybernétiques. Sa réputation en tant que référentiel de confiance pour les développeurs et les passionnés de technologie facilite la dissimulation de code malveillant à la vue de tous, principalement en ciblant les portefeuilles de crypto-monnaie et les informations personnelles.

Le réseau fantôme des Stargazers : une étude de cas

En juillet 2024, Check Point Research a découvert un réseau sophistiqué de distribution de logiciels malveillants en tant que service (DaaS) appelé le réseau fantôme Stargazers. Ce logiciel malveillant opérait sur GitHub depuis au moins un an.

Ce réseau impliquait une série de comptes "fantômes" qui semblaient légitimes car ils participaient à des activités typiques de GitHub, comme l'étoile des dépôts et le suivi d'autres utilisateurs. Cela créait l'illusion qu'il s'agissait de comptes réguliers contribuant à la communauté open-source.

Cependant, ces comptes fantômes distribuaient des logiciels malveillants en incorporant des liens malveillants dans leurs dépôts GitHub. Dans une campagne particulièrement remarquable, le réseau a diffusé l'Atlantida Stealer, une nouvelle famille de logiciels malveillants conçue pour voler portefeuilles de cryptomonnaie, les informations d'identification de connexion et les informations personnellement identifiables (PII). En l'espace de quatre jours, plus de 1 300 utilisateurs ont été infectés par Atlantida Stealer via les dépôts GitHub.

Les familles de logiciels malveillants propagées par le réseau incluent Atlantida Stealer, Rhadamanthys, Lumma Stealer et RedLine.

Comment ont-ils pu abuser de GitHub? Découvrons-le.

README.md comme un cheval de Troie : Vous pourriez penser que le fichier README.md dans un dépôt GitHub est simplement une description ordinaire du projet ou des instructions d'utilisation. Le truc ? De tels fichiers peuvent être remplis de liens malveillants déguisés en ressources utiles pour développer votre suivi sur les réseaux sociaux, conduisant à du phishing ou des logiciels malveillants.

La puissance des "étoiles" et des "forks" : Sur GitHub, lorsque un projet obtient beaucoup d'étoiles ou est forké fréquemment, il semble populaire et digne de confiance. Les cybercriminels en profitent en créant de multiples comptes faux (ou "fantômes") pour étoiler et forker leurs propres dépôts, donnant ainsi une apparence légitime à leur code malveillant. Plus il y a d'étoiles, plus le projet semble crédible à première vue. Les utilisateurs ont souvent confiance en des projets très engagés sans creuser plus profondément dans ce qui est proposé.

Rotation constante des comptes : Les cybercriminels comme Stargazers Ghost Network sont souvent un pas en avant. Pour échapper à la détection, ils créent constamment de nouveaux comptes et font tourner leurs opérations, ce qui rend difficile la fermeture de leurs activités malveillantes même après que la plateforme les a bannis.

Logiciels malveillants cachés dans les versions : Des fichiers malveillants sont cachés dans des archives protégées par mot de passe (comme des fichiers .zip ou .7z), ce qui les rend plus difficiles à détecter. Ces fichiers sont souvent déguisés en logiciels légitimes et téléchargés par des utilisateurs inconscients.

Peut-être encore plus alarmant est la façon dont ces comptes fantômes sont devenus une entreprise du dark web (loués pour renforcer la légitimité). Les criminels ont facturé les autres pour les étoiles, les forks et pour rendre les projets malveillants dignes de confiance. Stargazers Ghost Network a gagné.autour100 000 $ à travers ces services.

Vous pouvez éviter de tomber dans les pièges des cybercriminels en comprenant les techniques de manipulation ci-dessus.

Saviez-vous? Lorsque vous "star" un dépôt sur GitHub, vous le mettez essentiellement en signet pour plus tard. C'est un moyen de montrer votre appréciation ou votre intérêt pour un projet. En revanche, "forker" un dépôt vous permet de créer une copie de celui-ci. Cela vous permet d'expérimenter, de faire des changements ou même de construire sur le projet original sans affecter la version originale.

Comment les logiciels malveillants cryptographiques sont cachés sur YouTube

Avec plus de 2,5 milliards d'utilisateurs, YouTube est devenu une plateforme incontournable pour les tutoriels, le divertissement et le contenu éducatif. Cette énorme base d'utilisateurs en fait une cible lucrative pour les cybercriminels cherchant à exploiter des utilisateurs insoupçonnants. La méthode? Vidéos trompeuses, faux tutoriels et liens malveillants intégrés dans les descriptions des vidéos.

Par exemple, les cybercriminels utilisent souvent des vidéos qui prétendent offrir des versions "crackées" de logiciels populaires, tels que AutoCAD, Adobe After Effects ou Photoshop, attirant des utilisateurs qui ne sont pas disposés ou incapables de payer pour des versions légitimes.

Beaucoup ne réalisent pas que suivre ces instructions vidéo peut les amener à télécharger des logiciels malveillants, pas le logiciel qu'ils espéraient.

Un exemple concret : Lumma Stealer

Le malware Lumma Stealer circule sur YouTube depuis 2024. Il est conçu pour extraire des informations hautement sensibles, telles que les mots de passe enregistrés du navigateur, les cookies et même les identifiants du portefeuille de cryptomonnaie.

Comprenons comment cela fonctionne:

Malware caché dans des fichiers ZIP: Les cybercriminels ont empaqueté le malware dans un fichier ZIP que les utilisateurs étaient invités à télécharger via la description de la vidéo.

Vidéos tutorielles trompeuses : Les vidéos étaient habilement déguisées en tutoriels ou en « comment faire » pour l'installation de logiciels, mais une fois que les utilisateurs ont suivi les étapes, ils ont involontairement infecté leurs ordinateurs.

Ce type d'attaque profite de la confiance que les utilisateurs accordent à YouTube. Après tout, lorsque une vidéo compte des centaines de milliers de vues et de commentaires positifs, cela ne semble pas être quelque chose qui pourrait nuire à votre ordinateur. C'est précisément ce qui rend ces attaques si efficaces: elles se fondent parfaitement dans le contenu légitime.

Le saviez-vous ? Les créateurs de logiciels malveillants ont mis au point une méthode très efficace pour distribuer des logiciels malveillants en utilisant des commentaires sur les dépôts GitHub publics. Ces commentaires incluent souvent un lien vers une archive cryptée hébergée sur Mediafire[.]com, ainsi que le mot de passe commun « changeme » pour accéder au fichier. Une fois que les victimes ont téléchargé et décompressé l’archive, leurs données deviennent vulnérables à la compromission.

Piratage de session et de flux : des préoccupations croissantes

Les cybercriminels ont également commencé à utiliser des techniques plus avancées telles que le détournement de session, qui ne nécessite même pas vos mots de passe ou vos identifiants.

Au lieu de cela, il détourne vos cookies de session - de petits fichiers qui suivent vos sessions actives sur des plateformes comme YouTube ou Google. Avec ces cookies de session, les attaquants peuvent contourner authentification à deux facteurs (2FA)et accéder à vos comptes sans avoir besoin de votre mot de passe.

En mars 2024, une campagne de logiciels malveillants a été découverte se propageant à travers les descriptions de vidéos sur YouTube. Ce logiciel malveillant était conçu pour voler des cookies de session, permettant aux attaquants de pirater des comptes d'utilisateurs et de se propager davantage.

En 2023, la société de cybersécurité Bitdefender a identifié une technique appelée "stream-jacking", que les cybercriminels utilisaient pour pirater des comptes de haut niveau, souvent mettant en vedette deepfakesde contenu d'Elon Musk et de Tesla pour attirer les utilisateurs dans des escroqueries.

En utilisant e-mails de phishingDéguisés en offres de collaboration, les pirates installent un logiciel malveillant Redline Infostealer, prenant le contrôle des comptes même avec l'authentification à deux facteurs. Ces escrocs dirigent les utilisateurs vers des sites d'escroquerie de crypto-monnaie en utilisant des liens malveillants ou des codes QR intégrés dans des vidéos.

Le contenu original est supprimé ou masqué, et les descriptions sont modifiées pour ressembler aux chaînes officielles de Tesla. Après avoir détecté une activité suspecte, YouTube ferme généralement ces comptes, ce qui entraîne des pertes importantes pour les propriétaires légitimes, y compris les vidéos, les abonnés et la monétisation.

Savez-vous ? Les attaques de phishing utilisent souvent des domaines trompeurs pour inciter les utilisateurs à télécharger des logiciels malveillants ou à divulguer des informations sensibles. Les cybercriminels utilisent sitescomme pro-swapper[.]com, fenzor[.]com et vortex-cloudgaming[.]com, imitant des plateformes légitimes pour attirer les victimes. Vérifiez toujours l'authenticité des sites web avant de télécharger des fichiers ou de saisir des informations personnelles.

Moyens clés pour vous protéger des logiciels malveillants liés aux cryptomonnaies sur YouTube et GitHub

Étant donné le prévalence croissante des cyberattaques, il est plus important que jamais pour les utilisateurs d'être vigilants. Voici quelques façons de vous protéger :

Surveillez vos comptes : de nombreuses plateformes, y compris Google et GitHub, vous permettent de voir les connexions récentes et les appareils connectés à votre compte. Si quelque chose semble suspect, changez immédiatement vos mots de passe et déconnectez-vous de toutes les sessions.

Utilisez des mots de passe forts et uniques et activez la double authentification : Bien que la double authentification ne soit pas infaillible contre le détournement de session, elle constitue néanmoins une couche de protection essentielle. L'utilisation de mots de passe forts et uniques pour chaque plateforme peut également empêcher les attaquants d'accéder à plusieurs comptes si l'un d'entre eux est compromis.

Utilisez une authentification Multifactorielle (MFA) résistante au phishing : optez pour des clés de sécurité matérielles ouMFA basée sur la biométriepour une protection renforcée contre les attaques de phishing.

Vérifiez les liens avant de cliquer : Vérifiez toujours la légitimité des liens dans les descriptions des vidéos YouTube ou les dépôts GitHub avant de cliquer. Recherchez des signes indiquant que quelque chose pourrait ne pas être correct, comme des URL raccourcies ou des domaines qui ne correspondent pas à la structure typique de la plateforme.

Soyez sceptique face aux offres de logiciels gratuits : si quelque chose semble trop beau pour être vrai, c'est probablement le cas. Méfiez-vous de toute vidéo ou dépôt GitHub proposant des logiciels piratés, surtout s'il faut télécharger des fichiers à partir de sites inconnus. Téléchargez toujours les logiciels à partir de sources officielles et dignes de confiance.

Mettez régulièrement à jour votre logiciel : il est crucial de maintenir à jour votre système d'exploitation, votre logiciel antivirus et vos applications pour vous protéger contre les vulnérabilités connues que les logiciels malveillants exploitent.

L'avenir de la distribution de logiciels malveillants

Malheureusement, la tendance à utiliser des plateformes comme YouTube et GitHub pour distribuer des logiciels malveillants ne montre aucun signe de ralentissement. À mesure que ces plateformes continuent de s'étendre, la créativité et la sophistication des cybercriminels cherchant à les exploiter augmenteront également.

En regardant vers l'avenir, cybercriminels intégrant des outils alimentés par l'IACela pourrait rendre ces attaques encore plus difficiles à détecter. Imaginez des comptes fantômes pilotés par l'IA qui peuvent interagir de manière autonome avec les utilisateurs, en adaptant les messages d'hameçonnage en fonction des interactions en temps réel et des réponses personnalisées. Cela pourrait entraîner une vague de distribution de logiciels malveillants plus convaincante, presque impossible à distinguer de l'activité légitime.

Comprendre et atténuer ces risques est essentiel dans un monde où l'adoption des cryptomonnaies est en croissance, et les plateformes numériques deviennent centrales dans de nombreux aspects de la vie.

Les utilisateurs doivent rester vigilants,les plateformes doivent renforcer leurs mesures de sécurité et la collaboration entre les experts en cybersécurité, les développeurs et les autres parties prenantes clés pour garantir un avenir numérique plus sûr.

Disclaimer:

1. Cet article est repris de [Guneet Kaur], Tous les droits d'auteur appartiennent à l'auteur original [cointelegraph]. S'il y a des objections à cette reproduction, veuillez contacter le Gate Learnéquipe, et ils s'en occuperont rapidement.
2. Avertissement de responsabilité : Les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent aucun conseil en investissement.
3. Les traductions de l'article dans d'autres langues sont effectuées par l'équipe d'apprentissage de Gate. Sauf mention contraire, la copie, la distribution ou le plagiat des articles traduits est interdit.