Як кіберзлочинці використовують YouTube і GitHub для поширення криптомалварі
У постійно змінюваному середовищі кіберзагроз дві платформи, які традиційно вважалися безпечними просторами для створення контенту, навчання та співпраці з відкритим кодом, стали мішенню для поширення шкідливого ПЗ, спрямованого на крадіжку криптовалют та особистих даних — YouTube і GitHub.
У 2024 році ландшафт загроз змінився, і кіберзлочинці почали використовувати дедалі складніші методи для експлуатації цих платформ, користуючись їхньою широкою аудиторією та довірою до них.
То як кіберзлочинці використовують YouTube і GitHub для поширення шкідливого ПЗ і як ви можете захистити себе?
Чому YouTube і GitHub стали цілями для криптомалварі
Якщо ви контент-мейкер або дата-саєнтист, ви довіряєте YouTube і GitHub як безпечним платформам, що робить їх неправильне використання ще небезпечнішим. Чому ці платформи стали новими цілями для поширення криптомалварі?
Давайте розглянемо причини:
- Велика база користувачів: Обидві платформи мають мільйони користувачів, що пропонує кіберзлочинцям величезну кількість потенційних жертв.
- Відкритий доступ: Будь-хто може завантажити код на GitHub, що дає кіберзлочинцям можливість із низьким порогом приховувати шкідливі скрипти у проєктах із відкритим кодом, які здаються корисними.
- Довіра та авторитет: Люди довіряють контенту, який знаходять у навчальних матеріалах на YouTube або репозиторіях GitHub, що спрощує замаскування шкідливого ПЗ під легітимне програмне забезпечення або інструменти.
- Активність користувачів: Висока взаємодія користувачів на цих платформах, наприклад, позначення зірочками репозиторіїв на GitHub чи перегляд навчальних матеріалів на YouTube, створює ідеальне середовище для швидкого поширення шкідливого ПЗ.
- Відсутність перевірки: Багато користувачів завантажують файли або виконують інструкції популярних авторів контенту, не замислюючись, що дозволяє шкідливому ПЗ залишатися непоміченим.
Чи знали ви? Платформи «malware-as-a-service» (MaaS) роблять складне шкідливе ПЗ доступним для будь-кого, хто готовий платити, перетворюючи кіберзлочинність у службу за запитом. Такі платформи часто пропонують різні пакети, зокрема ті, що містять викрадачі даних, такі як RedLine, які націлені на криптовалютні гаманці.
Як криптомалварь поширюється через GitHub
GitHub — платформа, яка традиційно використовувалася для обміну кодом із відкритим джерелом, — стала значною ціллю для кіберзлочинців. Її репутація як надійного ресурсу для розробників і техно-ентузіастів робить її легкою для приховування шкідливого коду, головно з метою крадіжки криптовалютних гаманців та особистої інформації.
Мережа Stargazers Ghost: кейс-стадія
У липні 2024 року Check Point Research виявила складну мережу поширення шкідливого ПЗ як послуги (DaaS), відому як Stargazers Ghost Network. Це шкідливе програмне забезпечення діяло на GitHub щонайменше рік.
Мережа залучала серію акаунтів-привидів, які виглядали легітимно завдяки тому, що брали участь у звичайних активностях GitHub, наприклад, ставили зірочки репозиторіям і стежили за іншими користувачами. Це створювало ілюзію, що це звичайні акаунти, які роблять внесок у спільноту з відкритим кодом.
Однак ці акаунти-привиди поширювали шкідливе ПЗ, вставляючи шкідливі посилання у свої GitHub-репозиторії. У рамках однієї особливо примітної кампанії мережа поширювала Atlantida Stealer, новий сімейство шкідливого ПЗ, розробленого для крадіжки криптовалютних гаманців, облікових даних для входу та особистої ідентифікаційної інформації (PII). Протягом чотирьох днів Atlantida Stealer заразив більш ніж 1 300 користувачів через репозиторії GitHub.
Сімейства шкідливого ПЗ, поширені мережею, включають Atlantida Stealer, Rhadamanthys, Lumma Stealer і RedLine.
Як вони змогли зловживати платформою GitHub? Давайте дізнаємося.
- README.md як троянський кінь: Можливо, ви думаєте, що файл README.md у репозиторії GitHub є просто описом проєкту або інструкцією з використання. Хитрість у тому, що такі файли можуть містити шкідливі посилання, замасковані під корисні ресурси для збільшення соціальних мереж, що веде до фішингу або зараження шкідливим ПЗ.
- Сила «зірочок» та «форків»: На GitHub, коли проєкт отримує багато зірок або його часто форкають, він виглядає популярним і заслуговуючим довіри. Кіберзлочинці використовують це, створюючи кілька фальшивих акаунтів (або «акаунтів-привидів»), щоб ставити зірочки та форкати власні репозиторії, роблячи свій шкідливий код виглядати як легітимний. Чим більше зірок, тим більш переконливим здається проєкт.
- Постійна ротація акаунтів: Кіберзлочинці, такі як Stargazers Ghost Network, часто на крок попереду. Щоб уникнути виявлення, вони постійно створюють нові акаунти та змінюють тактики, що ускладнює припинення їхньої шкідливої діяльності навіть після блокування платформи.
- Малварь, прихований у релізах: Шкідливі файли ховають у архівах із паролем (наприклад, .zip або .7z), що ускладнює їх виявлення. Ці файли часто маскуються під легітимне програмне забезпечення та скачуються ненавмисними користувачами.
Ще більш тривожним є те, як ці акаунти-привиди використовувалися як бізнес у даркнеті (здавалися в оренду для підвищення легітимності). Зловмисники брали плату за зірочки, форки та створення вигляду надійності для своїх шкідливих проєктів. Stargazers Ghost Network заробила близько $100,000 через ці послуги.
Ви можете уникнути пасток кіберзлочинців, розуміючи описані вище маніпуляції.
Чи знали ви? Коли ви ставите зірочку репозиторію на GitHub, це, по суті, означає, що ви його зберігаєте для майбутнього використання. Це спосіб показати вашу оцінку або інтерес до проєкту. У свою чергу, форкаючи репозиторій, ви створюєте його копію. Це дозволяє експериментувати, вносити зміни чи навіть покращувати оригінальний проєкт без впливу на вихідну версію.
Як криптомалварь ховається на YouTube
Маючи понад 2,5 мільярда користувачів, YouTube став основною платформою для навчальних матеріалів, розваг та освітнього контенту. Ця масивна база користувачів робить його ласою ціллю для кіберзлочинців, які хочуть використовувати довірливих користувачів. Як метод? Хибні відео, підроблені уроки та шкідливі посилання в описах відео.
