Les cybercriminels envoient de fausses revendications de droits d’auteur aux YouTubers pour les contraindre à promouvoir des logiciels malveillants et des mineurs de crypto-monnaie sur leurs vidéos.
Les auteurs de la menace profitent de la popularité des outils de détournement de paquets Windows (WPD) qui sont de plus en plus utilisés en Russie car ils aident les utilisateurs à contourner la censure d’Internet et les restrictions imposées par le gouvernement sur les sites Web et les services en ligne.
Les créateurs YouTube destinés à ce public publient des tutoriels sur l’utilisation de divers outils basés sur WPD pour contourner la censure et sont ciblés par des acteurs de la menace se faisant passer pour les détenteurs des droits d’auteur de ces outils.
Dans la plupart des cas observés par Kaspersky, les auteurs de la menace prétendent être les développeurs originaux de l’outil de contournement des restrictions présenté, déposant une réclamation pour atteinte aux droits d’auteur auprès de YouTube, puis contactant le créateur pour lui proposer une solution sous la forme d’un lien de téléchargement qu’ils fournissent.
Dans le même temps, ils menacent que la non-conformité entraîne deux autres « grèves » sur YouTube, ce qui pourrait entraîner une interdiction de chaîne basée sur la politique des « trois grèves » de la plateforme.
Dans d’autres cas, les attaquants contactent directement le créateur, se faisant passer pour les développeurs de l’outil et affirmant que l’outil d’origine a une nouvelle version ou un nouveau lien de téléchargement, demandant au créateur de le modifier sur sa vidéo.
Les créateurs, craignant de perdre leurs chaînes, cèdent aux demandes des acteurs de la menace et acceptent d’ajouter des liens dans leurs vidéos vers des référentiels GitHub qui hébergent lesdits outils de détournement de paquets Windows (WPD). Cependant, ce sont des versions cheval de Troie qui incluent à la place un téléchargeur de mineurs de cryptomères.
Kaspersky a vu cette promotion des outils WPD lacés se dérouler sur une vidéo YouTube qui a généré plus de 400 000 vues, le lien malveillant atteignant 40 000 téléchargements avant d’être supprimé.
Une chaîne Telegram avec 340 000 abonnés a également promu le malware sous le même déguisement.
« Selon notre télémétrie, la campagne de logiciels malveillants a touché plus de 2 000 victimes en Russie, mais le chiffre global pourrait être beaucoup plus élevé », prévient Kaspersky.
Déploiement de SilentCryptoMiner
L’archive malveillante téléchargée à partir des référentiels GitHub contient un chargeur de logiciels malveillants basé sur Python qui est lancé à l’aide de PowerShell via un script de démarrage modifié (‘général.bat’).
Si l’antivirus de la victime perturbe ce processus, le script de démarrage délivre un message d’erreur « fichier introuvable » suggérant que l’utilisateur désactive son antivirus et retélécharge le fichier.
L’exécutable récupère le chargeur de deuxième étape uniquement pour les adresses IP russes et l’exécute sur l’appareil.
La charge utile de la deuxième étape est un autre exécutable dont la taille a été gonflée à 690 Mo pour échapper à l’analyse antivirus, tout en proposant également des vérifications anti-bac à sable et des machines virtuelles.
Le chargeur de logiciels malveillants désactive les protections Microsoft Defender en ajoutant une exclusion et crée un service Windows nommé « DrvSvc » pour la persistance entre les redémarrages.
Finalement, il télécharge la charge utile finale, SilentCryptoMiner, une version modifiée de XMRig capable d’extraire plusieurs crypto-monnaies, y compris ETH, ETC, XMR et RTM.
Le mineur de pièces récupère les configurations distantes de Pastebin toutes les 100 minutes afin qu’il puisse être mis à jour dynamiquement.
Pour l’évasion, il est chargé dans un processus système comme ‘ dwm.exe ‘ utilise l’évidement des processus et interrompt l’activité d’extraction lorsque l’utilisateur lance des outils de surveillance tels que Process Explorer et le Gestionnaire de tâches.
Bien que la campagne découverte par Kaspersky cible principalement les utilisateurs russes, les mêmes tactiques peuvent être adoptées pour des opérations de portée plus large qui fournissent également des logiciels malveillants à haut risque tels que des voleurs d’informations ou des ransomwares.
Les utilisateurs doivent éviter de télécharger des logiciels à partir d’URL dans des vidéos ou des descriptions YouTube, en particulier à partir de chaînes de petite à moyenne taille qui sont plus sensibles aux escroqueries et au chantage.