Tin tặc dùng thủ đoạn bản quyền để phát tán mã độc đào tiền ảo trên YouTube
Tội phạm mạng đang lợi dụng các video hướng dẫn vượt tường lửa trên YouTube để lừa người dùng cài đặt phần mềm đào tiền ảo. Chúng sử dụng chiêu trò gửi cảnh báo bản quyền giả mạo để ép buộc các YouTuber chèn liên kết độc hại vào video của họ.
Theo nghiên cứu của Kaspersky, tội phạm mạng đang tống tiền các nhà sáng tạo nội dung trên YouTube để phát tán phần mềm độc hại đào tiền ảo. Chúng nhắm vào các video hướng dẫn sử dụng trình điều khiển Windows Packet Divert, một công cụ phổ biến tại Nga giúp người dùng vượt qua các hạn chế địa lý.
Kaspersky đã phát hiện trình điều khiển này trên 2,4 triệu thiết bị trong sáu tháng qua, với số lượt tải xuống tăng dần qua từng tháng kể từ tháng 9. Sự phổ biến của các trình điều khiển này đã dẫn đến sự gia tăng các video YouTube hướng dẫn cách tải xuống và cài đặt chúng. Đây chính là cơ hội để tội phạm mạng chèn liên kết đến phần mềm độc hại SilentCryptoMiner vào phần mô tả của những video này.
Một chiến thuật phổ biến là gửi cảnh báo bản quyền giả mạo đến chủ sở hữu video, sau đó liên hệ với họ, tự xưng là nhà phát triển ban đầu của trình điều khiển được đề cập trong video. Chúng yêu cầu YouTuber chèn liên kết "chính xác" vào phần mô tả để tránh bị gỡ video.
Theo Kaspersky, những kẻ lừa đảo đã tiếp cận được một YouTuber nổi tiếng với 60.000 người đăng ký, khiến các video có hơn 400.000 lượt xem chứa liên kết độc hại. Thay vì dẫn đến kho lưu trữ hợp pháp như GitHub, liên kết này dẫn người xem đến một tệp tin nhiễm độc, đã có hơn 40.000 lượt tải xuống.
Kaspersky ước tính rằng, bằng cách đe dọa các nhà sáng tạo nội dung trên YouTube bằng các cảnh báo bản quyền giả, tội phạm mạng đã lây nhiễm phần mềm độc hại đào tiền ảo cho khoảng 2.000 máy tính ở Nga. Con số thực tế có thể cao hơn nhiều nếu tính cả các chiến dịch tương tự được phát động trên Telegram.
Mặc dù phần mềm độc hại đào tiền ảo đã tồn tại nhiều năm, nhưng việc gây áp lực lên các nhà sáng tạo nội dung bằng khiếu nại bản quyền giả mạo là một chiến thuật mới và tinh vi hơn. Bằng cách lợi dụng lòng tin giữa YouTuber và khán giả, kẻ tấn công tạo ra cơ hội lây nhiễm trên diện rộng.
SilentCryptoMiner, phần mềm độc hại được sử dụng trong chiến dịch này, dựa trên XMRig, một công cụ đào tiền mã nguồn mở nổi tiếng, được sử dụng để đào các đồng tiền như Ethereum, Ethereum Classic, Monero và Ravencoin. Nó xâm nhập vào hệ thống máy tính thông qua kỹ thuật process hollowing và có thể được điều khiển từ xa.
Phần lớn nạn nhân được xác định ở Nga, và phần mềm độc hại chủ yếu nhắm vào các địa chỉ IP của Nga. Tuy nhiên, tội phạm mạng thường hoạt động ở bất cứ nơi nào chúng thấy có cơ hội.
Chiến dịch này diễn ra trong bối cảnh virus đào tiền ảo đang trở nên phổ biến. Người dùng internet cần cảnh giác và xác minh nguồn gốc của bất kỳ tệp tin tải xuống nào. Nếu một YouTuber hoặc hướng dẫn yêu cầu bạn tắt phần mềm diệt virus hoặc tuyên bố một tệp tin hoàn toàn an toàn, hãy cẩn thận và thực hiện kiểm tra bảo mật bổ sung.
Việc nâng cao nhận thức về an ninh mạng và cẩn trọng khi tải xuống phần mềm là rất quan trọng để bảo vệ bản thân khỏi các mối đe dọa trực tuyến ngày càng tinh vi.
