YouTube est une plateforme vidéo très populaire. Outre les vidéos complotistes ou de Fake News, les cybercriminels ont souvent utilisé cette solution de Streaming pour pousser des malwares.
Dans cet article, je vous montre comment la plateforme YouTube est utilisée pour diffuser des Trojan.
Ici il s’agit de crack qui conduit à un cheval de Troie, de type Lumma Stealer.
Le but est de comprendre les méthodes utilisées afin de pouvoir éviter de tomber dans le piège.
Je termine par les bonnes attitudes à suivre sur internet afin d’éviter les malwares sur YouTube.
Comment YouTube est utilisé pour diffuser des trojan
Comme évoqué précédemment, il faut savoir que cela n’a rien de nouveau.
YouTube a toujours été utilisé pour diffuser des arnaques et des malwares.
Voici un PDF qui date de 2016 d’un ancien article du site :
Les cybercriminels peuvent inclure des liens dans la description d’une vidéo, dans les commentaires, ou dans des messages épinglés, menant à des sites de téléchargement de logiciels malveillants.
Ces liens sont souvent déguisés pour paraître légitimes, par exemple en promettant un téléchargement gratuit d’un logiciel populaire, un générateur de clés, un fichier “crack“, ou un outil prétendument utile..
Des vidéos de cracks conduisant à des liens malveillants
Dernièrement, une personne est venue demander de l’aide pour désinfecter son PC à la suite de téléchargement d’un crack promu dans une vidéo YouTube : Trojan stealer totalement indétectable
Une recherche montre plusieurs vidéos qui proposent des cracks pour Adobe Acrobat DC, Adobe Photoshop 2024 Crack, FL Studio Crack, IDM Crack, Adobe Illustrator Crack, etc
La structure des vidéos est relativement identique :
- Une vidéo pour cracker un logiciel
- Le lien de téléchargement du crack
- Le mot de passe du ZIP du crack
- Une description de la vidéo identique avec des mots clés
Cette vidéo intitulée “Adobe Photoshop Crack | Free Download Firefly AI Adobe Photoshop 2024 | Photoshop AI Working Crack” a tout de même plus de 242k vues.
Cette autre vidéo “Internet Download Manager Free Download | IDM Crack | Internet Download Manager Crack” dépasse aussi les 220k
Ces vidéos mènent à des commentaires avec le lien de téléchargement utilisant des plateformes Dropbox ou Mediafire.
Deux comptes sont associés à cette campagne de malware.
Le premier avec le pseudo CHRIX.
Le deuxième avec comme nom Creative Cloud.
La liste complète : https://pjjoint.malekal.com/files.php?read=20241112_s10x9s11p7k7
Lumma Stealer
Cette campagne conduit à deux type de fichier.
Un type d’environ 100 Mo et un autre de plus d’1Go.
Pour la version 100 Mo, comme le montre la capture d’écran ci-dessous, les fichiers sont identiques.
Les auteurs de vidéo ne se cassent donc pas la tête.
Il créé un ZIP avec le nom du crack qui conduit au même Dropper.
Au bout du compte, cela amène un Trojan Stealer – un Cheval de troie spécialisé dans le vol de données, de la famille Lumma Stealer.
L’analyse Any.Run : https://app.any.run/tasks/612e0b34-af42-4a87-965f-5e32486a07a9
Ce dernier est détecté en Trojan:Win32/Wacatac.H!ml par Windows Defender.
La seconde version du fichier malveillant se présente sous la forme d’un fichier Set-up.exe de 929 Mo.
L’idée ici est de gonfler artificiellement la taille du fichier afin que les clients antivirus n’envoient le fichier automatiquement au laboratoire.
Cela rend aussi le scan sur VirusTotal impossible.
De manière générale, un fichier EXE très volumineux est signe qu’il est malveillant.
Et là aussi Windows Defender fait le boulot avec une détection Trojan:Win32/Wacatac.B!ml.
Conclusion
Une campagne de vidéos YouTube menant à un cheval de troie bien rodée.
Des vidéos tutoriels peuvent prétendre enseigner des “astuces” ou “hacks” pour améliorer les performances de votre ordinateur, augmenter la vitesse internet, ou installer des programmes coûteux gratuitement.Ces vidéos peuvent guider les utilisateurs vers le téléchargement de fichiers exécutables prétendument sûrs, qui contiennent en réalité des trojans.
La modération de YouTube semble dépassée, j’ai signalé des vidéos et les commentaires avec les liens et elles sont toujours en ligne.
Notons toutefois, qu’une des vidéos (que je n’ai pas signalé) a été suspendue.
Les internautes qui téléchargent tout et n’importe quoi, sont les premières victimes de ces campagnes.
Elles peuvent être désastreuses puisque ces Trojan Stealer sont très efficaces pour voler les mots de passe des comptes internet.
Notez que l’utilisation de faux cracks pour diffuser des malwares n’a aussi rien de nouveau :
- Les sites de crack pour distribuer des malwares : ça marche encore bien en 2020
- Vous voulez des programmes, jeux piratés, des cracks ? Obtenez des Stealers, ransomwares, crypteurs de monnaies
Liens connexes : Comment vérifier si Windows est authentique, cracké ou illégal
Comment se protéger des trojans sur YouTube
Voici quelques règles simples pour éviter les malwares via YouTube :
- Activez la sécurité de navigation : Activez la sécurité de navigation dans votre navigateur pour être averti si vous êtes redirigé vers un site dangereux
- Évitez de cliquer sur des liens inconnus : Ne cliquez pas sur des liens dans les descriptions, les commentaires, ou les messages si la source n’est pas de confiance. Vérifiez toujours l’authenticité de la source
- Ne téléchargez jamais de logiciels depuis des liens non officiels : Téléchargez toujours vos logiciels depuis les sites officiels ou des boutiques en ligne fiables, jamais depuis des liens fournis par des tiers
- Utilisez un antivirus : Installez un antivirus réputé et maintenez-le à jour. Certains antivirus détectent les sites et fichiers suspects et vous alertent avant qu’un trojan ne soit téléchargé
- Faites attention aux vidéos promettant des “cracks” ou des logiciels gratuits : Ces types de vidéos sont souvent utilisés pour tromper les utilisateurs et diffuser des trojans
- Ignorez les publicités ou messages suspects : Si une publicité ou un message vous redirige vers un site inconnu, quittez immédiatement la page
Liens
L’article Comment YouTube est utilisé pour diffuser des trojan est apparu en premier sur malekal.com.
0 Commentaires