YouTube est une plateforme vidéo très populaire. Outre les vidéos complotistes ou de Fake News, les cybercriminels ont souvent utilisé cette solution de Streaming pour pousser des malwares.
Dans cet article, je vous montre comment la plateforme YouTube est utilisée pour diffuser des Trojan.
Ici il s’agit de crack qui conduit à un cheval de Troie, de type Lumma Stealer.
Le but est de comprendre les méthodes utilisées afin de pouvoir éviter de tomber dans le piège.
Je termine par les bonnes attitudes à suivre sur internet afin d’éviter les malwares sur YouTube.
Table des matières
Comment YouTube est utilisé pour diffuser des trojan
Comme évoqué précédemment, il faut savoir que cela n’a rien de nouveau.
YouTube a toujours été utilisé pour diffuser des arnaques et des malwares.
Voici un PDF qui date de 2016 d’un ancien article du site :
Les cybercriminels peuvent inclure des liens dans la description d’une vidéo, dans les commentaires, ou dans des messages épinglés, menant à des sites de téléchargement de logiciels malveillants.
Ces liens sont souvent déguisés pour paraître légitimes, par exemple en promettant un téléchargement gratuit d’un logiciel populaire, un générateur de clés, un fichier “crack“, ou un outil prétendument utile..
Des vidéos de cracks conduisant à des liens malveillants
Dernièrement, une personne est venue demander de l’aide pour désinfecter son PC à la suite de téléchargement d’un crack promu dans une vidéo YouTube : Trojan stealer totalement indétectable
Une recherche montre plusieurs vidéos qui proposent des cracks pour Adobe Acrobat DC, Adobe Photoshop 2024 Crack, FL Studio Crack, IDM Crack, Adobe Illustrator Crack, etc
La structure des vidéos est relativement identique :
- Une vidéo pour cracker un logiciel
- Le lien de téléchargement du crack
- Le mot de passe du ZIP du crack
- Une description de la vidéo identique avec des mots clés
Cette vidéo intitulée “Adobe Photoshop Crack | Free Download Firefly AI Adobe Photoshop 2024 | Photoshop AI Working Crack” a tout de même plus de 242k vues.
Cette autre vidéo “Internet Download Manager Free Download | IDM Crack | Internet Download Manager Crack” dépasse aussi les 220k
Ces vidéos mènent à des commentaires avec le lien de téléchargement utilisant des plateformes Dropbox ou Mediafire.
Deux comptes sont associés à cette campagne de malware.
Le premier avec le pseudo CHRIX.
Le deuxième avec comme nom Creative Cloud.
Même chose avec ces deux comptes :
Les chaînes YouTube se ressemblent beaucoup avec quelques vidéos valides puis l’auteur upload les vidéos malveillantes.
La liste complète : https://pjjoint.malekal.com/files.php?read=20241112_s10x9s11p7k7
Lumma Stealer
Cette campagne conduit à deux type de fichier.
Un type d’environ 100 Mo et un autre de plus d’1Go.
Pour la version 100 Mo, comme le montre la capture d’écran ci-dessous, les fichiers sont identiques.
Les auteurs de vidéo ne se cassent donc pas la tête.
Il créé un ZIP avec le nom du crack qui conduit au même Dropper.
Au bout du compte, cela amène un Trojan Stealer – un Cheval de troie spécialisé dans le vol de données, de la famille Lumma Stealer.
L’analyse Any.Run : https://app.any.run/tasks/612e0b34-af42-4a87-965f-5e32486a07a9
Ce dernier est détecté en Trojan:Win32/Wacatac.H!ml par Windows Defender.
La seconde version du fichier malveillant se présente sous la forme d’un fichier Set-up.exe de 929 Mo (SHA1 6d319540ce0a635c8274e3b37537b18d162be19a).
L’idée ici est de gonfler artificiellement la taille du fichier afin que les clients antivirus n’envoient le fichier automatiquement au laboratoire.
Cela rend aussi le scan sur VirusTotal impossible.
Les liens zxcprogs.shop mène à une autre taille de fichiers mais la structure est relativement identique (SHA1 : 6d319540ce0a635c8274e3b37537b18d162be19a).
De manière générale, un fichier EXE très volumineux est signe qu’il est malveillant.
Et là aussi Windows Defender fait le boulot avec une détection Trojan:Win32/Wacatac.B!ml.
Trojan:Win32/RedCap
Une autre campagne malveillante est aussi présente avec en commentaire le lien www.mediafire.com/folder/7nk56irn7r0pr/GraciasY.
Là aussi beaucoup d’autres vidéos de crack relayant ce malware est présent.
L’auteur met à jour régulièrement le .RAR pour échapper aux détections antivirus.
Là aussi l’exécutable fait plusieurs centaines de Mo pour éviter des remontés automatiquement aux laboratoires des antivirus.
Le malware est aussi un Trojan Stealer de la famille Trojan RedCap.
Comme le montre la capture d’écran ci-dessous, les détections sont bonnes avec un taux de détection de 51/77
Windows Defender détecte les menaces en Trojan:Win32/Fauppod!ml et Trojan:Win32/Redcap!MTB.
Conclusion
Une campagne de vidéos YouTube menant à un cheval de troie bien rodée.
Des vidéos tutoriels peuvent prétendre enseigner des “astuces” ou “hacks” pour améliorer les performances de votre ordinateur, augmenter la vitesse internet, ou installer des programmes coûteux gratuitement.Ces vidéos peuvent guider les utilisateurs vers le téléchargement de fichiers exécutables prétendument sûrs, qui contiennent en réalité des trojans.
La modération de YouTube semble dépassée, j’ai signalé des vidéos et les commentaires avec les liens et elles sont toujours en ligne.
Notons toutefois, qu’une des vidéos (que je n’ai pas signalé) a été suspendue.
A noter que j’ai prévu YouTube sur Twitter le 12 Novembre mais la plupart des vidéos malveillantes sont encore en ligne.
Les internautes qui téléchargent tout et n’importe quoi, sont les premières victimes de ces campagnes.
Elles peuvent être désastreuses puisque ces Trojan Stealer sont très efficaces pour voler les mots de passe des comptes internet.
Notez que l’utilisation de faux cracks pour diffuser des malwares n’a aussi rien de nouveau :
- Les sites de crack pour distribuer des malwares : ça marche encore bien en 2020
- Vous voulez des programmes, jeux piratés, des cracks ? Obtenez des Stealers, ransomwares, crypteurs de monnaies
Liens connexes : Comment vérifier si Windows est authentique, cracké ou illégal
Comment se protéger des trojan sur YouTube
Voici quelques règles simples pour éviter les malwares via YouTube :
- Activez la sécurité de navigation : Activez la sécurité de navigation dans votre navigateur pour être averti si vous êtes redirigé vers un site dangereux
- Évitez de cliquer sur des liens inconnus : Ne cliquez pas sur des liens dans les descriptions, les commentaires, ou les messages si la source n’est pas de confiance. Vérifiez toujours l’authenticité de la source
- Ne téléchargez jamais de logiciels depuis des liens non officiels : Téléchargez toujours vos logiciels depuis les sites officiels ou des boutiques en ligne fiables, jamais depuis des liens fournis par des tiers
- Utilisez un antivirus : Installez un antivirus réputé et maintenez-le à jour. Certains antivirus détectent les sites et fichiers suspects et vous alertent avant qu’un trojan ne soit téléchargé
- Faites attention aux vidéos promettant des “cracks” ou des logiciels gratuits : Ces types de vidéos sont souvent utilisés pour tromper les utilisateurs et diffuser des trojans
- Ignorez les publicités ou messages suspects : Si une publicité ou un message vous redirige vers un site inconnu, quittez immédiatement la page