YouTube est devenu le nouveau terrain de chasses des hackers malveillants. De nombreuses chaines sont piratées pour être transformées en appât pour les utilisateurs. Il suffit de taper le nom d’un logiciel normalement payant sur YouTube pour constater les dégâts. En l’espace de 24h, plusieurs dizaines de vidéos proposant de télécharger gratuitement le logiciel de montage Adobe After Effects ont été publiées, la plupart d’entre elles par des chaines dépassant les 100 000 abonnés.
Un streamer indonésien, avec 207 000 abonnés, a par exemple posté trois vidéos du même genre ce 21 décembre. Le contenu est visionné des milliers de fois et une myriade de commentaires élogieux sont ajoutés dans la foulée pour donner plus de légitimité. Un lien de phishing est indiqué dans la description pour installer le malware sur le poste de la victime.
Une société spécialisée dans les caravanes nous a raconté avoir été piratée également : quelques heures plus tard, sa chaine a été transformée en publicité pour Adobe After Effects. Impossible de récupérer tout de suite le compte, les malfaiteurs modifient le mail de secours. La procédure auprès de Google peut-être très longue.
Avec U-Cyber 360°, la société française Mailinblack vous permet de protéger votre organisation et d’éduquer vos collaborateurs à la cybersécurité.
Du gestionnaire de mots de passe à la sécurisation des e-mails en passant par la formation continue ou les simulations d’attaques, cette solution regroupe tous les outils pour prévenir les risques cyber.
Si les téléchargements frauduleux de logiciel sont la dernière tendance, les pirates derrière ces pièges varient les arnaques. Ainsi, des promotions prétendument lancées par de célèbres Youtubeurs ont été repérées. Une vidéo mettant en avant des offres de MrBeast, un streamer américain avec 122 millions d’abonnés, a été visionné plus de 156 000 fois avant d’être retirée par YouTube. Les arnaques aux cryptomonnaies sont tout aussi populaires et ont déjà touché plusieurs youtubeurs.
La chaine d’infection « 911 »
Comment opèrent ces hackers ? Les chercheurs en cyber de Sekoia se sont penchés sur ces équipes de pirates russophones baptisées Traffers Team, du russe « Траффер », celui qui aide au trafic. « Ils sont en première ligne dans la nouvelle chaîne d’infection. Ces groupes proposent leur service sur les forums fréquentés par les hackers afin de propulser une vidéo sur YouTube par exemple. Des manuels sont fournis pour suivre chaque étape de l’attaque, en partant du référencement jusqu’au vol d’identifiants » nous explique Livia Tibirna, analyste de la menace cyber chez Sekoia.io.
La méthode d’infection par YouTube est connue sur les forums de hackers russophones sous le nom de code « 911 ». « Le traffer » utilise des services de transferts tels que Mega, Mediafire, OneDrive, Discord ou Github pour laisser les internautes télécharger les logiciels malveillants. Le fichier installé est souvent une archive protégée par un mot de passe pour le rendre indétectable.
Le cœur de ce système repose sur le stealer, un type de malware devenu très populaire. Une fois téléchargé, ce logiciel fouille les dossiers d’un navigateur jusqu’à tomber sur des fichiers qu’il reconnait, comme un gestionnaire de mot de passe, par exemple, pour l’extraire et l’envoyer sur un serveur externe. Puisque l’on enregistre d’ordinaire plusieurs mots de passe sur Google, les pirates n’ont qu’à se servir.
Les malfaiteurs chercheront ensuite à revendre les données dérobées ou se connecter à divers comptes pouvant leur rapporter de l’argent : e-commerce, crypto-monnaies. À noter que certaines équipes se chargent uniquement du référencement sur YouTube quand d’autres s’occupent de toute la chaîne d’infection.
La méthode 911 privilégie d’abord la quantité de victimes à la qualité de l’attaque. Nous vous conseillons de vérifier d’éviter de cliquer sur les liens en description de vidéo sur YouTube, encore plus lorsque celle-ci ont été publiées dans la journée. Et puis on ne vous aidera pas à trouver des versions gratuites de Photoshop, donc c’est à vos risques et périls lorsque vous décidez de contourner le paiement.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !