Kaspersky: YouTubers são chantageados para promover malware de mineração de criptomoedas
“Essa tática de coagir influenciadores mostra como os cibercriminosos estão evoluindo”, disse um pesquisador de segurança da Kaspersky.
Criminosos estão chantageando criadores do YouTube para que adicionem malware de mineração de criptomoedas em seus vídeos, de acordo com uma pesquisa da empresa de segurança cibernética Kaspersky.
Os hackers estão se aproveitando do crescimento dos drivers Windows Packet Divert na Rússia, que permitem que usuários da internet contornem restrições geográficas.
Os sistemas da Kaspersky detectaram esses drivers em 2,4 milhões de dispositivos nos últimos seis meses, com um aumento constante nos downloads desde setembro.
A popularidade desses drivers levou ao crescimento de vídeos no YouTube ensinando como baixá-los e instalá-los. No entanto, os criminosos encontraram uma maneira de inserir links para o malware SilentCryptoMiner nas descrições desses vídeos.
Uma tática cada vez mais comum é enviar uma reivindicação de direitos autorais contra um vídeo e depois entrar em contato com seu criador, alegando ser o desenvolvedor original do driver mencionado no conteúdo.
Segundo a Kaspersky, os criminosos conseguiram alcançar um YouTuber popular com 60.000 inscritos, adicionando um link malicioso em vídeos que, juntos, somam mais de 400.000 visualizações.
Mas, em vez de direcionar os espectadores para um repositório legítimo, como o GitHub, os links levavam a um arquivo infectado, que já foi baixado mais de 40.000 vezes.
A Kaspersky estima que, ao ameaçar criadores do YouTube com reivindicações de direitos autorais e remoções de vídeos, os criminosos conseguiram infectar cerca de 2.000 computadores na Rússia com malware de mineração de criptomoedas.
No entanto, a empresa de segurança sugere que o número total pode ser significativamente maior, considerando outras campanhas que também foram distribuídas por canais no Telegram.
Embora malwares de mineração de criptomoedas já existam há vários anos, Leonid Bezvershenko — pesquisador de segurança da equipe global de pesquisa e análise da Kaspersky — afirma que pressionar criadores de conteúdo com falsas reivindicações de direitos autorais é uma tática mais agressiva e inovadora.
“Embora certas ameaças — como mineradores e ladrões de informações — frequentemente usem plataformas sociais para se espalhar, essa tática de coagir influenciadores mostra como os cibercriminosos estão evoluindo”, disse Bezvershenko ao Decrypt. “Ao explorar a confiança entre YouTubers e seus seguidores, os atacantes criam oportunidades de infecção em larga escala.”
O malware de mineração usado pelos atacantes, SilentCryptoMiner, é baseado no conhecido minerador de código aberto XMRig e é usado para minerar tokens como Ethereum, Ethereum Classic, Monero e Ravencoin.
Ele se infiltra nos processos do sistema do computador através de uma técnica chamada process hollowing e pode ser controlado remotamente por seus criadores, que podem interromper a mineração sempre que o processo original do sistema estiver ativo.
“Nessa campanha específica, a maioria das vítimas que identificamos está na Rússia, e o malware em si estava principalmente disponível para endereços IP russos”, confirma Bezvershenko, embora ele ressalte que os atacantes costumam atuar onde encontram oportunidades.
Essa nova campanha surge em um momento em que vírus de mineração de criptomoedas se tornaram uma forma comum de malware. O Centro de Segurança da Internet identificou o CoinMiner como o segundo malware mais detectado de 2024, ficando atrás apenas do downloader SocGholish.
E, em dezembro do ano passado, pesquisadores de segurança cibernética da ReversingLabs descobriram que os atacantes estão cada vez mais inserindo malware de mineração de criptomoedas em pacotes de código aberto populares, que frequentemente atraem centenas de milhares de downloads semanais.
Embora possa ser difícil para desenvolvedores evitarem pacotes de código legítimos, mas infectados, a Kaspersky aconselha os usuários comuns da internet a se manterem vigilantes e verificarem a origem de qualquer download.
Como Bezvershenko alerta: “Se um criador do YouTube ou um guia pedir para você desativar seu antivírus ou afirmar que um arquivo é completamente seguro, trate isso com cautela e faça uma verificação adicional de segurança.”
