У постійно змінюваному ландшафті кіберзагроз дві платформи, традиційно вважані безпечними просторами для створення контенту, навчання та відкритий кодСпівпраця стали мішенями для поширення шкідливих програм, спрямованих на крадіжку криптовалюти та особистих даних - YouTube та gate.ioGitHub.

У 2024 році ландшафт загроз змінився, і кіберзлочинці все частіше використовуютьвдосконаленими методами для використання цих платформ, використовуючи їх широкі користувацькі бази та довірені репутації.

Отже, як кіберзлочинці використовують YouTube та GitHub для поширення шкідливих програм і як ви можете захистити себе?

Чому YouTube та GitHub стали мішенями для криптовалютних шкідливих програм

Якщо ви є творцем контенту або вченим з даних, ви довіряєте YouTube та GitHub як безпечним платформам, тому що це стає небезпечним, коли їх використовують неправильно. Чому ці платформи зараз стали метою для криптошкідливі програмирозподіл?

Давайте розкриємо причини:

Велика база користувачів: Обидва платформи мають мільйони користувачів, що надає кіберзлочинцям великий пул потенційних жертв.

Відкрита доступність: Будь-хто може завантажувати код на GitHub, надаючи кіберзлочинцям низькобар'єрну можливість приховати шкідливі скрипти в тому, що здаються корисними проектами з відкритим вихідним кодом.

Довіра та вірогідність: Люди довіряють вмісту, який вони знаходять у посібниках на YouTube або в репозиторіях GitHub, що робить його легше приховати шкідливі програми під законне програмне забезпечення чи інструменти.

Залучення користувачів: Висока взаємодія користувачів на цих платформах, така як відмічання репозиторіїв GitHub або перегляд відеоуроків на YouTube, створює ідеальне середовище для швидкого поширення шкідливих програм.

Відсутність перевірки: Багато користувачів завантажують файли або слідують інструкціям від популярних авторів контенту без додаткових думок, що дозволяє шкідливі програми проникнути непоміченими.

Чи знаєте ви? Платформи Malware-as-a-service (MaaS) роблять складне шкідливе програмне забезпечення доступним для всіх, хто готовий платити, перетворюючи кіберзлочинність на послугу, яку можна орендувати. Ці платформи часто пропонують різні пакети, включаючи викрадачі інформації, такі як RedLine, які націлені на криптогаманці.

Як криптовалютне шкідливе програмне забезпечення поширюється через GitHub

GitHub - платформа, яка традиційно використовується для обміну відкритим вихідним кодом, стала значним об'єктом кібератак. Її репутація як надійного сховища для розробників та технологічних ентузіастів полегшує злочинцям приховувати шкідливий код прямо на виду, головним чином націленого на криптокошельки та особисту інформацію.

Мережа Stargazers Ghost Network: приклад

У липні 2024 року дослідники Check Point виявили складну мережу поширення шкідливих програм (DaaS) під назвою Stargazers Ghost Network. Цей шкідливий код працював на GitHub принаймні протягом року.

Ця мережа включала серію «примарних» облікових записів, які виглядали законними, оскільки вони брали участь у типових діях GitHub, таких як репозиторії з зірочками та підписка на інших користувачів. Це створило ілюзію, що вони є звичайними обліковими записами, які роблять внесок у спільноту з відкритим вихідним кодом.

Однак ці привидні облікові записи розповсюджували шкідливі програми, вбудовуючи зловмисні посилання в свої сховища GitHub. У одній особливо помітній кампанії мережа поширила Atlantida Stealer, нову родину шкідливих програм, призначених для крадіжки криптовалютні гаманці, дані для входу та особисто ідентифіковану інформацію (PII). За чотири дні, більше 1,300 користувачів було заражено Atlantida Stealer через репозиторії GitHub.

Сім'ї шкідливих програм, які поширюються через мережу, включають Atlantida Stealer, Rhadamanthys, Lumma Stealer та RedLine.

Як вони змогли зловживати GitHub? Давайте з'ясуємо.

README.md як Троянський кінь: Ви можете подумати, що файл README.md в сховищі GitHub - це просто звичайний опис проекту або інструкції щодо використання. Але підвох полягає в тому, що такі файли можуть бути наповнені шкідливими посиланнями, прихованими під корисні ресурси для збільшення вашого слідування в соціальних мережах, що може призвести до розповсюдження фішингу або шкідливих програм.

Сила “зірок” та “видилин”: на GitHub, коли проект отримує багато зірок або часто робиться форк, він здається популярним і надійним. Кіберзлочинці використовують це, створюючи кілька фейкових акаунтів (або “привидних” акаунтів), щоб поставити зірки та робити форки у власних репозиторіях, роблячи свій шкідливий код виглядати легітимним. Чим більше зірок, тим більш довірливим на перший погляд здається проект. Користувачі часто довіряють високо взаємодійованим проектам, не розглядаючи уважніше, що вони пропонують.

Постійне обертання облікових записів: Кіберзлочинці, такі як мережа Stargazers Ghost, часто випереджають нас на крок. Щоб уникнути виявлення, вони постійно створюють нові облікові записи та обертають свою діяльність, що ускладнює припинення їх шкідливої діяльності навіть після того, як платформа забороняє їх.

Шкідливі програми, приховані в релізах: Шкідливі файли приховані в архівах з паролем (наприклад, файлів .zip або .7z), що робить їх важчими для виявлення. Часто ці файли маскуються під законне програмне забезпечення та завантажуються непідозрілими користувачами.

Можливо, ще більш тривожним є те, як ці привидні облікові записи стали справою темного вебу (здаються в оренду для підвищення легітимності). Злочинці брали гроші від інших за відзначення, розгалуження та зроблення зловісних проектів достойними довіри. Старгейзерська мережа привидів заробиланавколо$100,000 через ці послуги.

Ви можете уникнути потрапляння у пастки кіберзлочинців, розуміючи вищезазначені техніки маніпуляцій.

Чи знали ви? Коли ви «зірочкуєте» репозиторій на GitHub, ви по суті додаєте його до закладок для майбутнього використання. Це спосіб показати свою вдячність або зацікавленість у проекті. У свою чергу, «форкання» репозиторію дозволяє вам створити його копію. Це дає змогу експериментувати, вносити зміни або навіть розширювати початковий проект, не впливаючи на початкову версію.

Як криптошкідливі програми приховуються на YouTube

З понад 2,5 мільярдами користувачів YouTube став платформою вибору для навчальних посібників, розваг та освітнього контенту. Ця величезна користувацька база робить її прибутковою метою для кіберзлочинців, які намагаються використати недбалих користувачів. Метод? Одурюючі відеоролики, фальшиві посібники та шкідливі посилання, вбудовані в описи відео.

Наприклад, кіберзлочинці часто використовують відео, які вказують, що пропонують «зламані» версії популярного програмного забезпечення, такого як AutoCAD, Adobe After Effects або Photoshop, що привертає користувачів, які або не бажають, або не можуть оплатити легальні версії.

Багато хто не усвідомлюють, що слідування цим відеоінструкціям може привести їх до завантаження шкідливих програм, а не до очікуваного програмного забезпечення.

Реальний приклад: Lumma Stealer

Шкідливі програми Lumma Stealer поширюються на YouTube протягом 2024 року. Вони призначені для вилучення високочутливої інформації, такої як збережені паролі браузера, куки та навіть облікові дані гаманця криптовалюти.

Давайте зрозуміємо, як це працює:

Шкідливі програми, приховані в ZIP-файлах: кіберзлочинці упакували шкідливі програми в ZIP-файл, на який користувачі були спрямовані для завантаження через опис відео.

Оманливі навчальні відео: Відео були вміло замасковані під навчальні посібники або «інструкції» щодо встановлення програмного забезпечення, але як тільки користувачі виконували кроки, вони несвідомо заражали свої комп'ютери.

Цей вид атаки використовує довіру користувачів до YouTube. Зрештою, коли відео має сотні тисяч переглядів і позитивних коментарів, воно не здається чимось, що може зашкодити вашому комп'ютеру. Саме це робить ці атаки такими ефективними: вони органічно поєднуються з легітимним контентом.

Чи ви знали? Розробники шкідливих програм створили високоефективний метод поширення шкідливих програм за допомогою коментарів на публічних репозиторіях GitHub. Ці коментарі часто містять посилання на зашифрований архів, розміщений на Mediafire[.]com, а також звичайний пароль «changeme» для доступу до файлу. Після того як жертви завантажують і розпаковують архів, їх дані стають вразливими для компрометації.

Захоплення сеансів та потоків: зростаюча стурбованість

Кіберзлочинці також почали використовувати більш вдосконалені техніки, такі як захоплення сесій, для чого не потрібні навіть ваші паролі або облікові дані.

Замість цього він викрадає ваші сесійні файли cookie — невеликі файли, які відстежують ваші активні сесії на платформах, таких як YouTube чи Google. З цими сесійними файлами cookie зловмисники можуть обійтидвофакторна аутентифікація (2FA)і отримуйте доступ до своїх облікових записів без необхідності вводити пароль.

У березні 2024 року була виявлена кампанія поширення шкідливих програм через описи відео на YouTube. Ця шкідлива програма призначалася для крадіжки сесійних кукі, що дозволяло зловмисникам захоплювати облікові записи користувачів та поширювати їх далі.

У 2023 році кібербезпекова компанія Bitdefender виявила прийом, який називається «перехоплення потоку», який зловмисники використовували для захоплення високопрофільних облікових записів, часто з функцією глибоких фейківШахраї використовують контент із Елона Маска та Tesla, щоб залучити користувачів до шахрайських схем.

Завдяки використанню фішингові листипід маскою пропозицій про співпрацю хакери встановлюють шкідливу програму Redline Infostealer, отримуючи контроль над обліковими записами навіть з 2FA. Ці шахраї направляють користувачів на веб-сайти шахрайства з криптовалютами за допомогою шкідливих посилань або QR-кодів, вбудованих у відео.

Оригінальний вміст видаляється або приховується, а описи змінюються так, щоб нагадувати офіційні канали Tesla. Після виявлення підозрілої діяльності YouTube зазвичай закриває ці облікові записи, що призводить до значних втрат для законних власників, включаючи відео, підписників і монетизацію.

Чи ви знали? Фішингові атаки часто використовують обманні домени, щоб обманом змусити користувачів завантажувати шкідливі програми або розкривати конфіденційну інформацію. Кіберзлочинці використовують сайтина кшталт pro-swapper[.]com, fenzor[.]com та vortex-cloudgaming[.]com, наслідуючи легітимні платформи, щоб заманити жертв. Завжди перевіряйте автентичність веб-сайтів перед завантаженням файлів або введенням особистої інформації.

Ключові способи захисту від шкідливих програм у криптовалюті на YouTube та GitHub

З урахуванням зростаюча поширеність кібератак, це важливіше за все, щоб користувачі були бджоли. Ось деякі способи захисту вас:

Моніторте свої облікові записи: Багато платформ, включаючи Google та GitHub, дозволяють переглядати останні входи та пристрої, підключені до вашого облікового запису. Якщо щось виглядає підозріло, негайно змініть свої паролі та вийдіть з усіх сеансів.

Використовуйте сильні, унікальні паролі та увімкніть 2FA: Хоча 2FA не є надійним проти захоплення сеансу, воно все ще є важливим рівнем захисту. Використання сильних, унікальних паролів для кожної платформи також може запобігти зловмисникам у доступі до кількох облікових записів, якщо один з них скомпрометований.

Використовуйте MFA, що стійкий до рибалки: виберіть апаратні ключі безпеки або MFA на основі біометрикидля більш надійного захисту від атак фішингу.

Перевіряйте посилання перед натисканням: завжди перевіряйте легітимність посилань в описах відео на YouTube або репозиторіях на GitHub перед натисканням. Шукайте ознаки того, що щось не так, наприклад, скорочені URL-адреси або домени, які не відповідають типовій структурі платформи.

Будьте скептичними щодо безкоштовних пропозицій програмного забезпечення: якщо щось здається надто хорошим, щоб бути правдою, ймовірно, це так і є. Будьте обережними щодо будь-якого відео або сховища GitHub, яке пропонує взламане програмне забезпечення, особливо якщо це вимагає завантаження файлів з незнайомих сайтів. Завжди завантажуйте програмне забезпечення з офіційних, надійних джерел.

Регулярно оновлюйте програмне забезпечення: Важливо регулярно оновлювати операційну систему, антивірусне програмне забезпечення та додатки для захисту від відомих вразливостей, які використовують шкідливі програми.

Майбутнє розповсюдження шкідливих програм

На жаль, тенденція використання платформ, таких як YouTube та GitHub, для поширення шкідливих програм не показує ознак зменшення. При такому розширенні таких платформ зростатиме і креативність, і складність кіберзлочинців, які намагаються їх використати.

Зазираючи вперед, куберзлочинці інтегрують інструменти на базі штучного інтелектуможуть зробити ці атаки ще складнішими для виявлення. Уявіть AI-приведені облікові записи, які можуть автономно взаємодіяти з користувачами, настроюючи фішингові повідомлення на основі взаємодій в режимі реального часу та персоналізованих відповідей. Це може призвести до більш переконливої хвилі поширення шкідливих програм, яку може бути майже неможливо відрізнити від законної діяльності.

Розуміння та пом'якшення цих ризиків є критичним у світі, деприйняття криптовалюти зростає, і цифрові платформи стають центральними для багатьох аспектів життя.

Користувачі повинні залишатися пильними,платформи повинні посилити свої заходи забезпечення безпеки та співпрацю серед експертів з кібербезпеки, розробників та інших ключових зацікавлених сторін, щоб забезпечити безпечніший цифровий майбутній.

Відмова від відповідальності:

1. Ця стаття передрукована з [Гунит Каур], Усі авторські права належать оригінальному авторові [cointelegraph]. Якщо є зауваження до цього перевидання, будь ласка, зв'яжіться з Gate Learnкоманда, і вони оброблять це негайно.
2. Відповідальність за відмову: Погляди та думки, висловлені в цій статті, є виключно тими, що належать автору і не становлять жодної інвестиційної поради.
3. Переклади статті на інші мови виконуються командою gate Learn. Якщо не зазначено, копіювання, поширення або плагіат перекладених статей заборонені.