I ricercatori di Proofpoint Emerging Threats hanno osservato malware infostealer, tra cui Vidar, StealC e Lumma Stealer, distribuiti tramite YouTube sotto forma di software pirata e crack di videogiochi. Gli attori delle minacce infatti prediligono prendere di mira gli utenti domestici, perché questi non hanno le stesse risorse o conoscenze delle aziende per difendersi dagli attaccanti. Anche se il guadagno finanziario potrebbe non essere paragonabile a quello derivante da attacchi rivolti verso le aziende, le vittime possono comunque possedere carte di credito, wallet di criptovalute e altre informazioni personali memorizzate sui computer che possono risultare redditizie per i criminali.
I video si propongono di mostrare all’utente come scaricare software o aggiornare videogiochi gratuitamente, ma i link presenti nelle descrizioni conducono in realtà al malware. Molti degli account che ospitano video pericolosi sembrano essere compromessi o acquisiti in altro modo da utenti legittimi, ma i ricercatori hanno anche osservato account creati e controllati da probabili attori, attivi solo per poche ore esclusivamente per distribuire malware.
Anche ricercatori di terze parti hanno pubblicato dettagli su falsi video di software craccati utilizzati per diffondere malware. Il metodo di distribuzione è particolarmente degno di nota a causa del tipo di videogiochi promossi: molti sembrano essere indirizzati agli utenti più giovani, compresi quelli per bambini, che hanno minori capacità di identificare contenuti dannosi e comportamenti online rischiosi.
Durante l’indagine, il team Proofpoint Emerging Threats ha segnalato oltre due dozzine di account e video che distribuivano malware a YouTube, che ne ha rimosso i contenuti.
Esempio di account
Presentiamo un esempio di account sospetto (o potenzialmente venduto a un nuovo “creatore di contenuti”) utilizzato per diffondere malware. Tra gli indicatori vi sono: notevoli intervalli di tempo tra i video pubblicati, contenuti molto diversi da quelli pubblicati in precedenza, differenze linguistiche e descrizioni dei video contenenti probabili link pericolosi.
L’account ha circa 113.000 abbonati e mostra un segno di spunta grigio che indica che il proprietario ha soddisfatto i requisiti del canale verificato, compresa la convalida della propria identità.
Esempio di account YouTube, sospettato di essere compromesso
Quando i ricercatori di Proofpoint hanno identificato l’account, la maggior parte dei video era stata pubblicata da un anno, o ancora prima, e tutti avevano titoli in thailandese. Tuttavia, al momento dell’identificazione, nell’arco di 24 ore erano stati pubblicati dodici nuovi video in lingua inglese, tutti relativi a videogiochi popolari e software craccati e ogni descrizione includeva link a contenuti dannosi. Alcuni dei video avevano oltre 1.000 visualizzazioni, forse aumentate artificialmente dai bot per farli sembrare legittimi.
