Malware: Cyberkriminelle verteilen Malware über Videos auf Youtube
Teils auf verifizierten Youtube-Kanälen werden Spiele-Cracks versprochen. In Wirklichkeit jedoch wird Malware geliefert.
Mit Videoclips sollen Opfer zum Ausführen von Malware gebracht werden.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Die IT-Sicherheitsforscher von Proofpoint haben mehrere Youtube-Kanäle entdeckt, die Malware verteilen. Sie versprechen gecrackte und illegal kopierte Videospiele und zugehörige Inhalte.
Wie die Proofpoint-Analysten in einem Blog-Beitrag schreiben, seien eher Heimanwender als Unternehmensmitarbeiter Ziel dieser Masche. Diese seien ebenfalls finanziell attraktiv für Cyberkriminelle, da sie etwa Kreditkarten-Daten, Kryptowährungs-Wallets und andere nutzbare persönliche Informationen auf ihren Rechnern gespeichert hätten. Diese können bösartige Akteure lukrativ nutzen.
Malware-verteilende Videos auf verifizierten Kanälen
Auf vermutlich kompromittierten Youtube-Konten verteilen die Angreifer Links auf Malware. In einem Beispiel hatte ein Konto 113.000 Follower, aber seit mehr als zwölf Monaten keine neuen Videos gepostet. Nun kamen mehrere neue Videos dazu, die sowohl thematisch als auch in der Sprache von dem bisherigen Content abweichen. Einige Kontoinhaber haben möglicherweise den Zugang auch an die Cyberkriminellen verkauft, mutmaßt Proofpoint. Aber auch komplett neue Youtube-Konten haben die IT-Forscher entdeckt, die ausschließlich dem Zweck der Malware-Verteilung dienen.
Die Videos zeigen vermeintlich, wie Zuschauer Software herunterladen oder Videospiele kostenlos upgraden können. In den Videobeschreibungen sind dann jedoch Links auf Malware wie Vidar, StealC oder Lumma Stealer zu finden, die persönliche Informationen und Kreditkartendaten aufspüren und an die Command-and-Control-Server schicken sowie Kryptowallets suchen und leerzuräumen versuchen.
Die Links zeigen insbesondere auf Hoster wie Mediafire. Die IT-Forscher haben dort etwa ein passwortgeschütztes RAR-Archiv (Setup_Pswrd_1234.rar) vorgefunden, in dem die ausführbare Datei Setup.exe lag. Nach dem Start lud sie die Vidar Infostealer-Malware herunter. Mehrere junge Kommentare zu dem Video attestierten dem Crack, dass er funktioniere – vermutlich handelt es sich um Konten, die der Video-Uploader selbst erstellt hat. Unter einem anderen Video haben die Cyberkriminellen eine Anleitung gepostet, mit der die potenziellen Opfer etwa die Virenscanner und Windows Smart Screen deaktivieren sollen vor dem Ausführen der Schadsoftware.
Außer zu Mediafire führen Malware-Links auch in Richtung Telegram oder Discord. Neben der Opfersuche mit populären Spieltiteln versuchen die Angreifer, bekannte Softwarepiraterie-Gruppen zu imitieren. In einem der Fälle sollte ein Crack "League of Legends" von "Empress" stammen, die ausführbare Datei hieß dort dann auch empress.exe.
Proofpoints Experten zufolge nehmen die Täter insbesondere auch Kinder ins Visier, die sie mit für diese Zielgruppe attraktive Spiele anlockt. Die jungen Menschen seien weniger in der Lage, bösartige Inhalte und riskantes Online-Verhalten zu erkennen. Mehr als zwei Dutzend solcher Konten und Videos, die Malware verteilen, haben die Analysten gefunden und an Youtube gemeldet, wonach die Plattform sie entfernt hat. In der Analyse nennen Proofpoints IT-Forscher auch Indicators of Compromise (IOCs), die auf einen Befall mit der entdeckten Malware hindeuten.
Bereits vor rund einem Jahr haben IT-Sicherheitsforscher eine Zunahme an KI-generierten Youtube-Clips beobachtet. Diese versprachen ebenfalls Cracks für populäre Software, lieferten dann jedoch Malware aus.
(dmk)