Des cyberattaquants dissimulent des infostealers dans les commentaires YouTube et les résultats de recherche Google

Des acteurs malveillants ciblent les utilisateurs recherchant des logiciels piratés ou crackés en utilisant des liens frauduleux sur YouTube et Google. Ces liens, souvent hébergés sur des plateformes de partage de fichiers réputées comme Mediafire ou Mega.nz, redirigent vers des téléchargeurs infectés par des logiciels malveillants de type infostealer, tels que Lumma, Vidar ou MarsStealer.

Une campagne sophistiquée et évasive

Des chercheurs de Trend Micro ont découvert que les attaquants exploitent les commentaires et descriptions de vidéos YouTube pour promouvoir des tutoriels d’installation de logiciels légitimes. Ces vidéos, souvent présentées comme des guides, contiennent des liens vers des téléchargeurs frauduleux. Sur Google, les résultats de recherche pour des logiciels piratés sont également truffés de liens malveillants.

Les fichiers malveillants sont souvent protégés par un mot de passe et encodés, ce qui complique leur analyse dans des environnements de sécurité comme les sandbox et permet d’éviter une détection précoce. Une fois installés, ces infostealers collectent des données sensibles, telles que les identifiants de connexion et les informations de portefeuilles de cryptomonnaie.

Une variété de malwares distribués

Outre Lumma Stealer, les chercheurs ont identifié d’autres infostealers distribués via ces campagnes, notamment PrivateLoader, MarsStealer, Amadey, Penguish et Vidar. Ces malwares exploitent la confiance des utilisateurs envers des plateformes comme YouTube et des services de partage de fichiers réputés. Les personnes recherchant des logiciels piratés sont particulièrement vulnérables, car elles pensent télécharger des installateurs légitimes.

Des tactiques d’évasion avancées

Les attaquants utilisent des tactiques sophistiquées pour éviter la détection, comme l’utilisation de fichiers d’installation volumineux, de fichiers zip protégés par mot de passe et de liens raccourcis. Ces méthodes empêchent les outils de sécurité d’analyser les fichiers malveillants dès leur arrivée. Par exemple, un lien raccourci peut rediriger vers un fichier hébergé sur Mediafire, demandant un mot de passe pour accéder au contenu malveillant.

Une menace similaire à celle de GitHub

Cette campagne rappelle une autre attaque récente exploitant les commentaires de dépôts GitHub pour dissimuler le Remote Access Trojan (RAT) Remcos. Dans les deux cas, les commentaires jouent un rôle clé dans la diffusion des malwares. Par exemple, une vidéo YouTube prétendant offrir une version crackée d’Adobe Lightroom peut contenir un commentaire avec un lien vers un téléchargeur malveillant.

Comment se protéger ?

Face à ces menaces, les organisations doivent adopter une approche proactive pour se protéger :

1. Sensibilisation des employés : Former les employés à reconnaître les attaques d’ingénierie sociale et à éviter de télécharger des logiciels piratés.
2. Mise à jour des systèmes de détection : Rester informé des dernières menaces et maintenir les systèmes de détection et d’alerte à jour.
3. Visibilité accrue :Surveiller les activités suspectes, car la détection seule ne suffit pas à identifier toutes les menaces.
4. Analyse approfondie des fichiers :Utiliser des outils capables d’analyser les fichiers protégés par mot de passe et les liens raccourcis.

Conclusion

Cette campagne met en lumière l’ingéniosité des cybercriminels, qui exploitent la confiance des utilisateurs envers des plateformes populaires pour diffuser des malwares. Les organisations doivent rester vigilantes, renforcer leurs défenses et éduquer leurs employés pour éviter de tomber dans ces pièges bien orchestrés. La cybersécurité repose sur une combinaison de technologies avancées et de sensibilisation humaine pour contrer ces menaces en constante évolution.