L’équipe de sécurité du blog Cybereason a créé un rapport d’analyse sur la méthodologie des propagations des logiciels malveillants à l’aide de comptes YouTube compromis comme moyen de dissémination de logiciels malveillants. Elle dévoilera les tactiques des cybercriminels dans des campagnes à faible coût, mettant en lumière leurs stratégies, tout en fournissant des conseils aux défenseurs pour la détection et la prévention de ces attaques.
POINTS CLÉS
- Comptes YouTube exploités : Cybereason a observé des acteurs malveillants exploitant d’anciens comptes YouTube pour héberger des liens vers des logiciels malveillants (y compris des voleurs d’informations comme Redline et Racoonstealer et d’autres logiciels malveillants courants comme SmokeLoader) qui se font passer pour des versions crackées de logiciels payants populaires.
- Campagnes à faible coût et à combustion lente : les acteurs malveillants qui utilisent ces comptes utilisent des architectures légères et modulaires et des logiciels malveillants courants pour lancer des campagnes d’attaque de plusieurs mois qui nécessitent peu d’efforts ou d’investissements tout en conservant la capacité d’échapper à la détection.
- Techniques de leurre : les auteurs de menaces utilisent diverses techniques pour attirer leurs victimes potentielles, notamment l’empoisonnement par l’optimisation des moteurs de recherche (SEO) dans les langues utilisées dans les régions géographiques qu’ils ciblent.
- TropiCracked : Cybereason a identifié un acteur malveillant spécifique, baptisé TropiCracked, qui exploite ce vecteur d’attaque pour cibler ses victimes principalement en Amérique du Sud.
Les acteurs de la menace recherchent en permanence des vecteurs pour atteindre les actifs vulnérables des victimes, utilisant des méthodes variées, de l’exploitation technique avancée des vulnérabilités 0-Day à l’approche ciblée des campagnes de phishing, et bien plus encore.
Une stratégie éprouvée allie l’ingénierie sociale à des logiciels malveillants répandus sur des sites et des ressources fréquemment visités, les réseaux sociaux étant une cible privilégiée. Cette approche exploite l’anonymat et le trafic élevé de ces sites, la vulnérabilité de l’utilisateur final, et la facilité de déploiement de logiciels malveillants, permettant ainsi la création rapide et économique d’une campagne d’attaque touchant un large public.
Malgré leur perception souvent comme des infections mineures par rapport aux attaques plus spectaculaires et manuelles, leur impact est loin d’être insignifiant. La quête d’économie d’un utilisateur cherchant un « logiciel libre » sur Google peut exposer tant l’utilisateur que son organisation à des dangers bien réels.
Si ce rapport d’analyse vous intéresse vous pouvez le consulter sur leur blog : Cybereason.com