Menu Fermer

Comment YouTube est utilisé pour diffuser des trojan

YouTube est une plateforme vidéo très populaire. Outre les vidéos complotistes ou de Fake News, les cybercriminels ont souvent utilisé cette solution de Streaming pour pousser des malwares.

Dans cet article, je vous montre comment la plateforme YouTube est utilisée pour diffuser des Trojan.
Ici il s’agit de crack qui conduit à un cheval de Troie, de type Lumma Stealer.
Le but est de comprendre les méthodes utilisées afin de pouvoir éviter de tomber dans le piège.
Je termine par les bonnes attitudes à suivre sur internet afin d’éviter les malwares sur YouTube.

Comment YouTube est utilisé pour diffuser des trojan

Comment YouTube est utilisé pour diffuser des trojan

Comme évoqué précédemment, il faut savoir que cela n’a rien de nouveau.
YouTube a toujours été utilisé pour diffuser des arnaques et des malwares.
Voici un PDF qui date de 2016 d’un ancien article du site :

Les cybercriminels peuvent inclure des liens dans la description d’une vidéo, dans les commentaires, ou dans des messages épinglés, menant à des sites de téléchargement de logiciels malveillants.
Ces liens sont souvent déguisés pour paraître légitimes, par exemple en promettant un téléchargement gratuit d’un logiciel populaire, un générateur de clés, un fichier “crack“, ou un outil prétendument utile..

Des vidéos de cracks conduisant à des liens malveillants

Dernièrement, une personne est venue demander de l’aide pour désinfecter son PC à la suite de téléchargement d’un crack promu dans une vidéo YouTube : Trojan stealer totalement indétectable

Comment YouTube diffuse des trojan

Une recherche montre plusieurs vidéos qui proposent des cracks pour Adobe Acrobat DC, Adobe Photoshop 2024 Crack, FL Studio Crack, IDM Crack, Adobe Illustrator Crack, etc
La structure des vidéos est relativement identique :

  • Une vidéo pour cracker un logiciel
  • Le lien de téléchargement du crack
  • Le mot de passe du ZIP du crack
  • Une description de la vidéo identique avec des mots clés

Cette vidéo intitulée “Adobe Photoshop Crack | Free Download Firefly AI Adobe Photoshop 2024 | Photoshop AI Working Crack” a tout de même plus de 242k vues.

Malware sur une vidéo YouTube "Adobe Photoshop Crack | Free Download Firefly AI Adobe Photoshop 2024"

Cette autre vidéo “Internet Download Manager Free Download | IDM Crack | Internet Download Manager Crack” dépasse aussi les 220k

Malware sur une vidéo YouTube "Internet Download Manager Free Download | IDM Crack"

Ces vidéos mènent à des commentaires avec le lien de téléchargement utilisant des plateformes Dropbox ou Mediafire.
Deux comptes sont associés à cette campagne de malware.
Le premier avec le pseudo CHRIX.

Lien de téléchargement malveillant dans YouTube
Lien de téléchargement malveillant dans YouTube

Le deuxième avec comme nom Creative Cloud.

Lien de téléchargement malveillant dans YouTube
Lien de téléchargement malveillant dans YouTube

Même chose avec ces deux comptes :

Les chaînes YouTube se ressemblent beaucoup avec quelques vidéos valides puis l’auteur upload les vidéos malveillantes.

Chaîne YouTube faisant la promotion de malware
Chaîne YouTube faisant la promotion de trojan

La liste complète : https://pjjoint.malekal.com/files.php?read=20241112_s10x9s11p7k7

Lumma Stealer

Cette campagne conduit à deux type de fichier.
Un type d’environ 100 Mo et un autre de plus d’1Go.

Malware provenant de YouTube

Pour la version 100 Mo, comme le montre la capture d’écran ci-dessous, les fichiers sont identiques.
Les auteurs de vidéo ne se cassent donc pas la tête.
Il créé un ZIP avec le nom du crack qui conduit au même Dropper.

Cheval de Troie propulsé par YouTube

Au bout du compte, cela amène un Trojan Stealer – un Cheval de troie spécialisé dans le vol de données, de la famille Lumma Stealer.
L’analyse Any.Run : https://app.any.run/tasks/612e0b34-af42-4a87-965f-5e32486a07a9

Les vidéos de Crack YouTube amène au Trojan Stealer Lumma

Ce dernier est détecté en Trojan:Win32/Wacatac.H!ml par Windows Defender.

Trojan:Win32/Wacatac.H!ml détecté par Windows Defender

La seconde version du fichier malveillant se présente sous la forme d’un fichier Set-up.exe de 929 Mo (SHA1 6d319540ce0a635c8274e3b37537b18d162be19a).
L’idée ici est de gonfler artificiellement la taille du fichier afin que les clients antivirus n’envoient le fichier automatiquement au laboratoire.
Cela rend aussi le scan sur VirusTotal impossible.

Trojan via de faux cracks sur YouTube

Les liens zxcprogs.shop mène à une autre taille de fichiers mais la structure est relativement identique (SHA1 : 6d319540ce0a635c8274e3b37537b18d162be19a).

De manière générale, un fichier EXE très volumineux est signe qu’il est malveillant.
Et là aussi Windows Defender fait le boulot avec une détection Trojan:Win32/Wacatac.B!ml.

Trojan:Win32/Wacatac.B!ml sur les cracks YouTube

Trojan:Win32/RedCap

Une autre campagne malveillante est aussi présente avec en commentaire le lien www.mediafire.com/folder/7nk56irn7r0pr/GraciasY.

Campagne de crack malveillant sur YouTube menant à Trojan:Win32/RedCap

Là aussi beaucoup d’autres vidéos de crack relayant ce malware est présent.

Campagne de crack malveillant sur YouTube menant à Trojan:Win32/RedCap

L’auteur met à jour régulièrement le .RAR pour échapper aux détections antivirus.

Campagne de crack malveillant sur YouTube menant à Trojan:Win32/RedCap

Là aussi l’exécutable fait plusieurs centaines de Mo pour éviter des remontés automatiquement aux laboratoires des antivirus.

Campagne de crack malveillant sur YouTube menant à Trojan:Win32/RedCap

Le malware est aussi un Trojan Stealer de la famille Trojan RedCap.
Comme le montre la capture d’écran ci-dessous, les détections sont bonnes avec un taux de détection de 51/77

Trojan RedCap en action

Windows Defender détecte les menaces en Trojan:Win32/Fauppod!ml et Trojan:Win32/Redcap!MTB.

Détections Trojan:Win32/Fauppod!ml et Trojan:Win32/Redcap!MTB

Conclusion

Une campagne de vidéos YouTube menant à un cheval de troie bien rodée.

Des vidéos tutoriels peuvent prétendre enseigner des “astuces” ou “hacks” pour améliorer les performances de votre ordinateur, augmenter la vitesse internet, ou installer des programmes coûteux gratuitement.Ces vidéos peuvent guider les utilisateurs vers le téléchargement de fichiers exécutables prétendument sûrs, qui contiennent en réalité des trojans.

La modération de YouTube semble dépassée, j’ai signalé des vidéos et les commentaires avec les liens et elles sont toujours en ligne.
Notons toutefois, qu’une des vidéos (que je n’ai pas signalé) a été suspendue.

La modération YouTube qui a retiré des vidéos malveillantes

A noter que j’ai prévu YouTube sur Twitter le 12 Novembre mais la plupart des vidéos malveillantes sont encore en ligne.

Les internautes qui téléchargent tout et n’importe quoi, sont les premières victimes de ces campagnes.
Elles peuvent être désastreuses puisque ces Trojan Stealer sont très efficaces pour voler les mots de passe des comptes internet.

Notez que l’utilisation de faux cracks pour diffuser des malwares n’a aussi rien de nouveau :

Liens connexes : Comment vérifier si Windows est authentique, cracké ou illégal

Comment se protéger des trojan sur YouTube

Voici quelques règles simples pour éviter les malwares via YouTube :

  • Activez la sécurité de navigation : Activez la sécurité de navigation dans votre navigateur pour être averti si vous êtes redirigé vers un site dangereux
  • Évitez de cliquer sur des liens inconnus : Ne cliquez pas sur des liens dans les descriptions, les commentaires, ou les messages si la source n’est pas de confiance. Vérifiez toujours l’authenticité de la source
  • Ne téléchargez jamais de logiciels depuis des liens non officiels : Téléchargez toujours vos logiciels depuis les sites officiels ou des boutiques en ligne fiables, jamais depuis des liens fournis par des tiers
  • Utilisez un antivirus : Installez un antivirus réputé et maintenez-le à jour. Certains antivirus détectent les sites et fichiers suspects et vous alertent avant qu’un trojan ne soit téléchargé
  • Faites attention aux vidéos promettant des “cracks” ou des logiciels gratuits : Ces types de vidéos sont souvent utilisés pour tromper les utilisateurs et diffuser des trojans
  • Ignorez les publicités ou messages suspects : Si une publicité ou un message vous redirige vers un site inconnu, quittez immédiatement la page