В постоянно изменяющемся мире киберугроз две платформы, традиционно считавшиеся безопасными пространствами для создания контента, обучения и открытый исходный кодсотрудничество стали целями для распространения вредоносных программ, направленных на кражу криптовалюты и личных данных — YouTube и GitHub.

В 2024 году угрозовая обстановка изменилась, и киберпреступники используют все болееизощренные методы для эксплуатации этих платформ, воспользовавшись своей широкой пользовательской базой и доверенной репутацией.

Итак, как киберпреступники используют YouTube и GitHub для распространения вредоносных программ и как вы можете защитить себя?

Почему YouTube и GitHub являются целями для криптовалютного вредоносного программного обеспечения

Если вы являетесь создателем контента или ученым-исследователем данных, то вы доверяете YouTube и GitHub как безопасным платформам, что делает их еще более опасными, когда они злоупотребляются. Почему эти платформы стали мишенями длякриптовредоносные программыраспределение?

Давайте выясним причины:

Большая база пользователей: Оба платформы имеют миллионы пользователей, предоставляя киберпреступникам огромное количество потенциальных жертв.

Открытый доступ: любой может загрузить код на GitHub, предоставляя киберпреступникам низкопороговую возможность скрыть вредоносные сценарии в том, что кажется полезными проектами с открытым исходным кодом.

Доверие и доверие: Люди доверяют содержимому, которое они находят в учебниках YouTube или репозиториях GitHub, что облегчает маскировку вредоносных программ под легальное программное обеспечение или инструменты.

Вовлеченность пользователей: высокая активность пользователей на этих платформах, таких как отметка звездочки репозиториев на GitHub или просмотр учебных видео на YouTube, создает идеальную среду для быстрого распространения вредоносных программ.

Недостаток внимания: Многие пользователи загружают файлы или следуют инструкциям популярных создателей контента без всякой особой осторожности, позволяя вредоносным программам проникать незаметно.

Знаете ли вы? Платформы Malware-as-a-Service (MaaS) делают сложное вредоносное ПО доступным для всех, кто готов заплатить, превращая киберпреступность в арендуемую услугу. Эти платформы часто предлагают различные пакеты, в том числе похитители информации, такие как RedLine, которые нацелены на криптокошельки.

Как вредоносные программы для криптовалют распространяются через GitHub

Платформа GitHub, традиционно используемая для обмена открытым кодом, стала значительной целью для кибератак. Её репутация надежного хранилища для разработчиков и технических энтузиастов делает её удобным местом для скрытия вредоносного кода на виду у всех, преимущественно нацеливаясь на криптокошельки и личную информацию.

Сеть призраков Старгейзеров: кейс-стади

В июле 2024 года исследователи Check Point обнаружили сложную сеть распространения вредоносных программ в виде сервиса (DaaS) под названием Stargazers Ghost Network. Эта вредоносная программа работала на GitHub как минимум год.

Эта сеть включала в себя ряд «призрачных» аккаунтов, которые выглядели легитимно, потому что они участвовали в типичных активностях GitHub, таких как добавление репозиториев в избранное и подписка на других пользователей. Это создавало иллюзию, что они являются обычными учетными записями, вносящими вклад в сообщество с открытым исходным кодом.

Однако эти призрачные аккаунты распространяли вредоносные программы, внедряя вредоносные ссылки в свои репозитории на GitHub. В одной особенно заметной кампании сеть распространяла Atlantida Stealer, новую семью вредоносных программ, разработанную для кражи криптовалютные кошельки, данные для входа и лично идентифицируемая информация (PII). В течение четырех дней более 1300 пользователей были заражены Atlantida Stealer через репозитории на GitHub.

Семейства вредоносных программ, распространяемых по сети, включают Atlantida Stealer, Rhadamanthys, Lumma Stealer и RedLine.

Как им удалось злоупотребить GitHub? Давайте выясним.

README.md как троянский конь: Вы могли бы подумать, что файл README.md в репозитории GitHub - всего лишь обычное описание проекта или инструкции по использованию. Но на самом деле такие файлы могут быть заполнены злонамеренными ссылками, замаскированными под полезные ресурсы для увеличения вашей аудитории в социальных сетях, что может привести к р phishing или вредоносным программам.

Сила «звезд» и «форков»: на GitHub, когда проект получает много звезд или часто форкуют, он кажется популярным и надёжным. Киберпреступники пользуются этим, создавая множество фейковых аккаунтов (или аккаунтов-«призраков»), чтобы ставить звезды и форкать свои собственные репозитории, делая свой вредоносный код легитимным. Чем больше звезд, тем более достоверным проект кажется на первый взгляд. Пользователи часто доверяют проектам с большим участием, не вдаваясь в подробности о том, что предлагается.

Постоянное вращение учетных записей: Киберпреступники, такие как Старгейзерс Гост Нетворк, часто опережают нас на шаг. Чтобы избежать обнаружения, они постоянно создают новые учетные записи и вращают свои операции, что делает сложным прекращение их злонамеренной деятельности даже после блокировки платформой.

Вредоносные программы, скрытые в релизах: Вредоносные файлы скрыты в архивах с защитой паролем (например, файлы .zip или .7z), что делает их сложнее обнаружить. Часто эти файлы маскируются под легитимное программное обеспечение и загружаются ничего не подозревающими пользователями.

Возможно, еще более тревожно, как эти призрачные учетные записи стали делом на темном веб-рынке (сдавались в аренду для повышения легитимности). Преступники брали плату у других за постановку звезд, разветвление и создание впечатления доверия к вредоносным проектам. Сеть призраков Stargazers заработала вокруг100 000 долларов США через эти сервисы.

Вы можете избежать попадания в ловушки киберпреступников, понимая вышеуказанные техники манипуляции.

Знаете ли вы? Когда вы «звездочку» репозиторий на GitHub, вы фактически добавляете его в закладки для будущего использования. Это способ показать ваше признание или интерес к проекту. В отличие от этого, «форк» репозитория позволяет вам создать его копию. Это позволяет вам экспериментировать, вносить изменения или даже развивать оригинальный проект, не затрагивая оригинальную версию.

Как крипто-вредоносные программы скрываются на YouTube

С более чем 2,5 миллиарда пользователей YouTube стал платформой по умолчанию для обучающих видео, развлечений и образовательного контента. Эта огромная пользовательская база делает его прибыльной целью для киберпреступников, стремящихся использовать неподозрительных пользователей. Метод? Манипулятивные видео, поддельные учебники и вредоносные ссылки, встроенные в описания видео.

На пример, киберпреступники часто используют видео, которые утверждают, что предлагают "взломанные" версии популярного программного обеспечения, такого как AutoCAD, Adobe After Effects или Photoshop, привлекая пользователей, которые либо не желают, либо не могут заплатить за законные версии.

Многие не понимают, что следуя этим видеоинструкциям, они могут загрузить вредоносные программы, а не тот софт, на который надеялись.

Реальный пример: Крадица Lumma

Вредоносная программа Lumma Stealer циркулирует на YouTube на протяжении 2024 года. Она предназначена для извлечения высокочувствительной информации, такой как сохраненные пароли браузера, файлы cookie и даже учетные данные кошелька криптовалюты.

Давайте поймем, как это работает:

Вредоносные программы, скрытые в ZIP-файлах: киберпреступники упаковали вредоносные программы в ZIP-файл, на который пользователи были направлены для скачивания через описание видео.

Обманчивые обучающие видеоролики: Видеоролики были хитро скрыты под учебные пособия или "как сделать", чтобы установить программное обеспечение, но как только пользователи последовали указаниям, они ненароком заразили свои компьютеры.

Этот вид атаки использует доверие пользователей к YouTube. В конце концов, когда у видео сотни тысяч просмотров и положительные комментарии, кажется, что оно не может навредить вашему компьютеру. Вот почему эти атаки настолько эффективны: они плавно вливаются в легитимный контент.

Знаете ли вы? Создатели вредоносных программ разработали высокоэффективный метод распространения вредоносных программ, используя комментарии в общедоступных репозиториях GitHub. Эти комментарии часто содержат ссылку на зашифрованный архив, размещенный на Mediafire[.]com, а также общий пароль «changeme» для доступа к файлу. После того как жертвы скачивают и распаковывают архив, их данные становятся уязвимыми для компрометации.

Похищение сеанса и потоковое вмешательство: растущие опасения

Киберпреступники также начали использовать более сложные техники, такие как захват сессии, которая не требует ваших паролей или учетных данных.

Вместо этого она захватывает файлы cookie вашей сессии - небольшие файлы, отслеживающие ваши активные сеансы на платформах, таких как YouTube или Google. С помощью этих файлов cookie сеанса злоумышленники могут обойтидвухфакторная аутентификация (2FA)и получайте доступ к своим аккаунтам без необходимости ввода пароля.

В марте 2024 года была обнаружена кампания вредоносных программ, распространяющаяся через описания видео на YouTube. Эта вредоносная программа была разработана для кражи сессионных файлов cookie, позволяя злоумышленникам захватывать учетные записи пользователей и распространяться дальше.

В 2023 году компания по кибербезопасности Bitdefender выявила метод, называемый «перехват потока», который киберпреступники использовали для взлома известных аккаунтов, часто с функцией deepfakesо содержании Илона Маска и Tesla, чтобы заманить пользователей в мошеннические схемы.

Путем использованияфишинговые электронные письмапод прикрытием предложений о сотрудничестве хакеры устанавливают вредоносную программу Redline Infostealer, получая контроль над учетными записями даже с двухфакторной аутентификацией. Эти мошенники направляют пользователей на веб-сайты мошенничества с криптовалютой, используя вредоносные ссылки или QR-коды, внедренные в видеоролики.

Оригинальный контент удаляется или скрывается, а описания изменяются, чтобы напоминать официальные каналы Tesla. После обнаружения подозрительной активности, YouTube обычно закрывает эти аккаунты, что приводит к значительным потерям для законных владельцев, включая видео, подписчиков и монетизацию.

Знаете ли вы? Фишинговые атаки часто используют ложные домены, чтобы обмануть пользователей, заставив их загружать вредоносные программы или раскрывать конфиденциальную информацию. Киберпреступники используют сайтыподобно pro-swapper[.]com, fenzor[.]com и vortex-cloudgaming[.]com, подражая законным платформам, чтобы заманить жертв. Всегда проверяйте подлинность веб-сайтов перед загрузкой файлов или вводом личной информации.

Ключевые способы защиты от вредоносных программ криптовалют на YouTube и GitHub

Учитывая растущая распространенность кибератак, теперь важнее, чем когда-либо, чтобы пользователи были бдительными. Вот несколько способов защитить себя:

Отслеживайте свои аккаунты: Многие платформы, включая Google и GitHub, позволяют вам просматривать недавние входы и устройства, подключенные к вашему аккаунту. Если что-то выглядит подозрительным, немедленно измените свои пароли и выйдите из всех сеансов.

Используйте крепкие, уникальные пароли и включите 2FA: Хотя 2FA не обеспечивает абсолютной защиты от захвата сеанса, это все равно является важным уровнем защиты. Использование крепких, уникальных паролей для каждой платформы также может предотвратить доступ злоумышленников к нескольким учетным записям в случае компрометации одной из них.

Используйте защиту от рыболовных атак: выбирайте аппаратные ключи безопасности илиMFA на основе биометриидля более надежной защиты от фишинговых атак.

Проверьте ссылки перед нажатием: Всегда проверяйте законность ссылок в описаниях видео на YouTube или репозиториях на GitHub перед нажатием. Ищите признаки того, что что-то может быть не так, например, сокращенные URL-адреса или домены, которые не соответствуют типичной структуре платформы.

Будьте скептически настроены к предложениям бесплатного программного обеспечения: если что-то кажется слишком хорошим, чтобы быть правдой, вероятно, это так и есть. Будьте осторожны с видео или репозиториями на GitHub, предлагающими взломанное программное обеспечение, особенно если для этого требуется загрузка файлов с незнакомых сайтов. Всегда загружайте программное обеспечение с официальных и доверенных источников.

Регулярное обновление программного обеспечения: Важно регулярно обновлять операционную систему, антивирусное программное обеспечение и приложения для защиты от известных уязвимостей, которые используют вредоносные программы.

Будущее распространения вредоносных программ

К сожалению, тенденция использования платформ, таких как YouTube и GitHub, для распространения вредоносных программ не показывает признаков замедления. По мере расширения таких платформ будет расти творчество и уровень сложности киберпреступников, стремящихся использовать их.

В будущем, киберпреступники интегрируют инструменты на основе искусственного интеллектаЭто может сделать эти атаки еще более сложными для обнаружения. Представьте себе автономные учетные записи, управляемые искусственным интеллектом, которые могут взаимодействовать с пользователями, настраивая фишинговые сообщения на основе взаимодействий в реальном времени и персонализированных ответов. Это может привести к более убедительной волне распространения вредоносных программ, которую почти невозможно отличить от легитимной активности.

Понимание и смягчение этих рисков является критическим в мире, гдерост принятия криптовалюты, и цифровые платформы становятся центральными для многих аспектов жизни.

Пользователям необходимо оставаться бдительными,платформы должны усилить свои меры безопасности и сотрудничество среди экспертов по кибербезопасности, разработчиков и других заинтересованных сторон, чтобы обеспечить безопасное цифровое будущее.

отказ от ответственности:

1. Эта статья перепечатана из [Гунит Каур], Все авторские права принадлежат оригинальному автору [cointelegraph]. Если есть возражения по поводу этой публикации, пожалуйста, свяжитесь сGate Learnкоманда и они незамедлительно разберутся с этим.
2. Отказ от ответственности: Взгляды и мнения, выраженные в этой статье, являются исключительно точкой зрения автора и не представляют собой инвестиционных советов.
3. Переводы статьи на другие языки выполняются командой Gate Learn. Если не указано иное, копирование, распространение или плагиат переведенных статей запрещены.