網絡犯罪份子為了散播惡意程式無所不用其極,甚至通過勒索YouTuber的方法,讓內容創作者散播盜竊、挖礦工具或其他惡意程式,如果影片的內容是關於繞過地域存取限制的話,大家便應該特別小心提防。
黑客偽裝誠實開發者
有很多軟件方案專門為繞過平台地域限制而設,但都有一個共通點,就是由小型開發者所創作,他可能寫程式後與朋友分享,製作視頻後隨時一夜晚成為「人民英雄」,而他的GitHub儲存庫可能被加星數萬次,背後可能是網絡犯罪份子藉此散播惡意程式。至於要辨別數以百計這種小型開發者的可靠性,最明顯的蛛絲馬跡就是有些開發者建議關閉防毒防護,關閉防護並自願讓潛在黑客存取你的裝置,明顯是高風險行為。所謂的人民英雄背後可能是一位求財的黑客,NJRat、XWorm、Phemedrone和DCRat都是經常借繞過限制的軟件來散播的惡意程式。
YouTuber扮演的角色
在研究人員發現的挖礦工具散播活動中,發現其中一個感染源來自一條超過6萬訂閱者的YouTube頻道,該創作者上傳數條關於繞過地域限制的影片,並在影片簡介欄附有惡意壓縮檔的連結,結果那些影片累計觀看次數超過40萬,創作者會在稍後時間刪除連結,並留下「該程式無效」的訊息,原本的連結是連到一個詐騙網站,並錄得起過4萬次下載。
在指責涉事的YouTuber前,其實他們只是依照網絡犯罪份子的指示,並不察覺正在發生的事情,因為犯罪份子首先偽裝成軟件開發者,去信投訴關於繞過限制工具的影片,然後接觸內容創作者並遊說他們上載新影片,這次含有犯罪份子的惡意網站連結,聲稱現在那是唯一的官方下載網站,明顯內容創作者並不知道該網站是用來散播惡意程式,尤其是挖礦工具的壓縮檔,對於已經上載了3條或以上相關題材影片的內容創作者而言,並沒有拒絕的選項,黑客威脅會再去信投訴,如此一來YouTube頻道可能會被刪除。另外,犯罪份子也會在其他Telegram和YouTube頻道散播惡意程式和安裝指南,雖然很快便被刪除,但無阻犯罪份子繼續開啟新的頻道。
盜挖礦工具
涉事的挖礦工具是SilentCryptoMiner,首次發現於2024年10月,是以XMRig為基礎的盜挖礦開源工具,支援多款熱門加密貨幣,包括ETH、ETC、XMR、RTM等等,一旦偵測到某些程序,惡意程式便會停止挖礦,犯罪份子甚至可以遙距提供程序的清單以逃避偵測,大大增加偵測的難度,詳細資料請瀏覽Securelist。
防範盜挖礦工具
- 確保所有裝置安裝可靠防護方案對抗盜挖礦和其他惡意程式
- 避免從不知名或鮮為人知的來源下載程式
- 謹記即使是有聲譽的內容創作者也有可能不知正在散播惡意程式
資料來源:Kaspersky Blog
