Atores de ameaças abusam de vídeos do Youtube gerados por IA para espalhar malware roubador

Autores: Pavan Karthick M, Deepanjli Paulraj

Aumento de agentes de ameaças usando vídeos do Youtube gerados por IA

Desde novembro de 2022, houve um 200-300% aumento mensal de vídeos do Youtube contendo links para malwares ladrões, como o Vidar, Linha vermelha, e Guaxinim em suas descrições. Os vídeos atraem os usuários fingindo ser tutoriais sobre como baixar versões crackeadas de softwares como Photoshop, Premiere Pro, Autodesk 3ds Max, AutoCAD e outros produtos licenciados disponíveis apenas para usuários pagos.

‍

Normalmente, os vídeos usam uma gravação de tela ou um tutorial em áudio das etapas para baixar e instalar o software. No entanto, recentemente houve um aumento no uso de vídeos gerados por IA de plataformas como Synthesia e D-ID, sendo usados nos vídeos. É sabido que vídeos com humanos, especialmente aqueles com certas características faciais, parecem mais familiares e confiáveis. Portanto, tem havido uma tendência recente de vídeos com personalidades geradas por IA, em vários idiomas e plataformas (Twitter, Youtube, Instagram), fornecendo detalhes de recrutamento, treinamento educacional, material promocional, etc. E os agentes de ameaças agora também adotaram essa tática.

‍

‍

O crescente ecossistema de ladrões de informações

Os infostealers são softwares maliciosos projetados para roubar informações confidenciais de computadores. Eles podem roubar senhas, informações de cartão de crédito, números de contas bancárias e outros dados confidenciais. Eles geralmente se espalham por meio de downloads de software malicioso, sites falsos e tutoriais do Youtube. Uma vez instalados em um sistema, eles roubam informações do computador e as enviam para o servidor de Comando e Controle do atacante.

‍

Os ladrões de informações geralmente coletam da vítima:

• Dados do navegador, incluindo senhas, cookies, dados de extensão, preenchimentos automáticos, detalhes do cartão de crédito etc.
• Dados e credenciais da carteira criptográfica
• Dados e credenciais do Telegram
• Arquivos como .txt, documentos, planilhas do Excel, apresentações em PowerPoint, etc., usando um File Grabber.
• Informações do sistema, como endereço IP, caminho do malware (somente Redline e Vidar), fuso horário, localização, especificações do sistema etc.

‍

Desenvolvedores do Information Stealer

Os desenvolvedores são responsáveis por desenvolver e atualizar o código do malware para garantir que o antivírus e outros sistemas de detecção de terminais não detectem o ladrão quando ele é baixado para um computador. Eles também trabalham para expandir o escopo do ladrão adicionando novos navegadores, carteiras e outros aplicativos dos quais o malware pode roubar informações. Mesmo que os EDRs sejam atualizados com novos IOCs para detectar malware, os desenvolvedores continuam atualizando o malware de forma iterativa para evitar a detecção. Portanto, EDRs e IOCs são válidos somente por um curto período de tempo.

‍

Relatório relacionado: Information Stealer visa carteiras criptográficas por meio de uma atualização falsa do Windows 11

‍

Traficantes

Os desenvolvedores de ladrões de informações recrutam/fazem parcerias com outros agentes de ameaças, comumente conhecidos como traficantes, para:

• Identifique as vítimas por meio de registros de ladrões, credenciais comprometidas, etc., de mercados clandestinos, canais do Telegram e de outros traficantes.
• Espalhe o ladrão por meio de sites falsos, e-mails de phishing, tutoriais do Youtube, postagens em redes sociais, etc.
• Use a otimização de SEO para garantir que as fontes de infecção sejam facilmente visíveis e estejam disponíveis para possíveis vítimas.
• Colete, organize e venda as informações extraídas em fóruns clandestinos, canais do Telegram e para outros grupos que espalham malwares ladrões.

Os comerciantes são recrutados por meio de postagens e anúncios em vários fóruns clandestinos:

‍

‍

Youtube como canal de distribuição de malware

Com mais de 2,5 bilhões de usuários ativos mensais, o Youtube é uma plataforma popular e versátil. De entretenimento e resenhas a receitas e material educacional, o Youtube é usado por uma ampla variedade de usuários em todos os grupos demográficos.

‍

Embora o Youtube seja uma maneira fácil de alcançar milhões de usuários, os regulamentos e o processo de revisão da plataforma dificultam que os agentes de ameaças tenham contas ativas de longo prazo na plataforma. Depois que alguns usuários são afetados, o vídeo geralmente é retirado do ar e a conta é banida. Portanto, os agentes de ameaças estão sempre procurando novas maneiras de contornar o algoritmo e o processo de revisão da plataforma.

‍

Desde novembro de 2022, o CloudSEK observou um aumento de 2 a 3 vezes, mês a mês, no número de vídeos que espalham malwares ladrões.

‍

Aquisição de conta

Os agentes de ameaças usam vazamentos de dados anteriores, técnicas de phishing e registros de ladrões para assumir o controle de contas existentes do Youtube. Eles têm como alvo usuários instruídos e ativos (com um número significativo de assinantes e uploads) e usuários menos instruídos.

‍

Houve vários relatos e reclamações sobre aquisições de contas do Youtube. Os agentes da ameaça enviam imediatamente de 5 a 6 vídeos para a conta.

‍

Assumindo contas populares

Os agentes de ameaças têm como alvo contas populares com mais de 100 mil assinantes, na tentativa de alcançar um grande público em um curto período de tempo. Normalmente, os assinantes de contas populares serão notificados sobre um novo upload. O upload para essas contas também confere legitimidade ao vídeo. No entanto, esses Youtubers denunciarão o responsável pela conta ao Youtube e obterão acesso às suas contas em algumas horas. Mas em algumas horas, centenas de usuários poderiam ter sido vítimas.

‍

‍

Assumindo contas menos populares

Usuários em geral, que não enviam vídeos regularmente, podem não perceber que sua conta foi invadida por um período significativo de tempo. E mesmo que percam o acesso às suas contas, talvez não tenham o incentivo de denunciar isso. Conforme visto no exemplo abaixo, os vídeos maliciosos estão disponíveis mesmo após 3 meses. Apesar do alcance limitado dessas contas, os agentes de ameaças as atacam porque os vídeos enviados para elas permanecem disponíveis por um longo período de tempo.

‍

‍

Uploads de vídeos automatizados e frequentes

Observamos que a cada hora, 5 a 10 vídeos de download de software de crack, contendo links maliciosos, são enviados para o Youtube. Essa adição frequente de vídeos compensa os vídeos que são excluídos ou retirados e garante que, a qualquer momento, se um usuário pesquisar um tutorial sobre como baixar um software crackeado, esses vídeos maliciosos estejam disponíveis.

‍

Otimização de SEO usando tags específicas da região

Os agentes de ameaças adicionam uma lista exaustiva de tags que enganarão o algoritmo do Youtube para recomendar o vídeo e garantir que ele apareça como um dos principais resultados. Embora as tags incluam palavras-chave relevantes para o software, elas também incluem palavras-chave aleatórias em diferentes idiomas.

‍

‍

No exemplo abaixo, as tags incluem palavras-chave relacionadas a Canais de TV indianos e paquistaneses, programas de TV e frases em idiomas locais.

‍

‍

Links ofuscados

O link malicioso para baixar o arquivo com malware geralmente é incluído na descrição do vídeo. No entanto, esses links não parecem suspeitos porque os agentes da ameaça usam:

• Encurtadores de URL, como bit.ly e cutt.ly
• Links para plataformas de hospedagem de arquivos, como mediafire.com
• Links que baixam diretamente o arquivo zip malicioso

Os sites comumente vistos que são usados na cadeia de infecção estão listados no gráfico abaixo.

‍

Usando comentários falsos para dar legitimidade aos vídeos

Os agentes de ameaças adicionam vários comentários alegando que o software crackeado funcionou para eles. Isso dá aos vídeos um ar de legitimidade e induz os usuários a acreditar que o download malicioso é legítimo. Conforme visto nos exemplos abaixo, vários vídeos têm comentários idênticos dentro de uma hora após serem publicados, o que indica que os agentes da ameaça automatizaram o processo de adicionar comentários falsos aos vídeos.

‍

Vídeos gerados por IA

É sabido que vídeos com humanos, especialmente aquelas certas características faciais, parecem mais familiares e confiáveis. Portanto, tem havido uma tendência recente de vídeos com personalidades geradas por IA, em vários idiomas e plataformas (Twitter, Youtube, Instagram), fornecendo detalhes de recrutamento, treinamento educacional, material promocional, etc. E os agentes de ameaças agora também adotaram essa tática.

Conforme visto no exemplo abaixo, um vídeo de download de crack de Hogwarts gerado usando d-id.com foi enviado para um canal do Youtube com 184 mil inscritos. E poucos minutos depois de ser enviado, o vídeo teve 9 curtidas e mais de 120 visualizações.

‍

O caminho a seguir

Limitações das regras baseadas em strings

As regras baseadas em cadeias de caracteres se mostrarão ineficazes contra malwares que geram sequências de caracteres dinamicamente e/ou usam cadeias criptografadas. Os métodos de criptografia e codificação diferem de amostra para amostra (por exemplo, novas versões do Vidar, Guaxinim, etc). Além disso, eles só conseguirão detectar a família de malware quando a amostra for descompactada, o que quase nunca é usado em um malware campanha.

‍

Monitoramento adaptativo de ameaças em tempo real

Para lidar com as ameaças em constante mudança, as organizações precisam adote o monitoramento adaptativo de ameaças. Isso só pode ser feito monitorando de perto as mudanças de táticas, técnicas e procedimentos dos agentes de ameaças. Também é importante realizar campanhas de conscientização e equipar os usuários para identificar possíveis ameaças.

‍

Além disso, é recomendável que os usuários habilitem a autenticação multifator e evitem clicar em links e e-mails desconhecidos. Além disso, evite baixar ou usar software pirateado, pois os riscos superam em muito os benefícios.

‍