サイバーセキュリティ企業カスペルスキーは12日、YouTubeの「暗号資産マルウェア」脅迫について明らかにした。攻撃者はプラットフォームの著作権侵害システムを利用し、インフルエンサーに動画説明欄に悪意のあるリンクを追加させたという。
これらの行動により、YouTubeのコンテンツ制作者が脅迫に屈し、視聴者をマルウェア感染したダウンロードに誘導した。
Sponsoredカスペルスキー、サイレントCryptoMinerを公開
カスペルスキーの報告によれば、ハッカーはユーチューバーが築いた信頼を悪用し、このキャンペーンを特に危険なものにしている。デジタル制限を回避するツールに偽装したマルウェアを配布するサイバー犯罪者のキャンペーンを引用している。
具体的には、ハッカーは著作権の苦情を利用し、YouTubeのコンテンツ制作者を脅迫してSilentCryptoMinerを拡散させる問いう手口だ。SilentCryptoMinerは、人気のオープンソースのマイニングソフトウェアXMRigに基づく高度な暗号資産マイニングトロイの木馬である。
報告によれば、このマルウェアはEthereum(ETH)、Ethereum Classic(ETC)、Monero(XMR)、Ravencoin(RVN)などの暗号資産をマイニングする。また、ビットコインのブロックチェーンを使用してボットネットを制御する。
過去6か月間で、カスペルスキーは240万以上のWindows Packet Divertドライバーのインスタンスを検出した。報告によれば、サイバー犯罪者はこれを利用してネットワークトラフィックを操作する。多くのツールを正当なソフトウェアソリューションとして提示するが、隠れた悪意のあるペイロードを含んでいる。
インストールされると、マルウェアは被害者のシステムに持続し、セキュリティ対策を回避し、重要なシステムファイルを変更する。
報告書では、カスペルスキーは6万の登録者を持つYouTuberが知らずにマルウェアの配布を手助けしたケースを強調している。制作者は最初、特定のオンライン制限を回避する方法を示す動画を投稿し、制限回避ツールとされるリンクを含めた。
Sponsoredしかし、そのファイルはSilentCryptoMinerに感染していた。後に、感染した動画の説明を編集し、リンクを削除し、「このプログラムは動作しない」と警告を置き換えた。
「次に、攻撃者は著作権侵害を口実にコンテンツ制作者を脅迫し、悪意のあるリンクを含む動画を投稿しなければYouTubeチャンネルを閉鎖すると脅した。この方法で、詐欺師は人気のあるYouTuberの評判を操作し、感染したファイルへのリンクを投稿させた」と報告書の抜粋に記載されている。
著作権ストライクでYouTuberを強制
さらに悪質な動きとして、ハッカーは協力を拒否するYouTuberに対して虚偽の著作権請求を行った。コンテンツ制作者をチャンネルの削除で脅し、マルウェアの配布を強制した。
サイバーセキュリティの専門家は、YouTubeや他のSNSプラットフォームがこのような脅迫スキームの唯一のターゲットではない可能性があると警告している。悪意のある者は、インフルエンサーがコミュニティと交流するTelegramや他のメッセージングプラットフォームで同様の戦術を展開する可能性がある。
したがって、ユーザーは未確認のソースからソフトウェアをダウンロードする際に注意を払うべきである。一見役立つツールが悪意のある活動の入り口となる可能性がある。一方、この発見は、カスペルスキーが別の主要なサイバーセキュリティの脅威を明らかにした1か月後に発生した。
「当社の専門家は、新しいデータ盗難トロイの木馬、SparkCatを発見した。これは少なくとも2024年3月以降、App StoreとGoogle Playで活動している。SparkCatは機械学習を利用して画像ギャラリーをスキャンし、暗号資産ウォレットのリカバリーフレーズ、パスワード、スクリーンショットに隠されたその他の機密データを盗む」と同社は主張した。
これは暗号資産投資家が直面するリスクの増大を示している。YouTubeインフルエンサーがサイバー犯罪者の主要なターゲットとなる中、ブロックチェーンインテリジェンスプラットフォームArkhamは彼らのポートフォリオを追跡し始めた。
「Key Opinion Leader (KOL) Label」と呼ばれる新機能は、Xで10万以上のフォロワーを持つインフルエンサーのウォレットを追跡する。これにより、投資家はインフルエンサーが本当に推奨するトークンを支持しているのか、それとも単なる有料広告なのかを監視できる。これはインフルエンサーの役割がSNSを超えて広がっていることを示している。
