De nombreuses chaines sont piratées pour être transformée en vidéo de promotion d’arnaques et de phishing. Derrière ces attaques, des équipes de hackers russes bien organisées pour piéger les Youtubeurs.

YouTube est devenu le nouveau terrain de chasses des hackers malveillants. De nombreuses chaines sont piratées pour être transformées en appât pour les utilisateurs. Il suffit de taper le nom d’un logiciel normalement payant sur YouTube pour constater les dégâts. En l’espace de 24h, plusieurs dizaines de vidéos proposant de télécharger gratuitement le logiciel de montage Adobe After Effects ont été publiées, la plupart d’entre elles par des chaines dépassant les 100 000 abonnés.

Un streamer indonésien, avec 207 000 abonnés, a par exemple posté trois vidéos du même genre ce 21 décembre. Le contenu est visionné des milliers de fois et une myriade de commentaires élogieux sont ajoutés dans la foulée pour donner plus de légitimité. Un lien de phishing est indiqué dans la description pour installer le malware sur le poste de la victime.

Ce streamer indonésien a probablement été piraté. // Source : Numerama
Ce streamer indonésien a probablement été piraté. // Source : Numerama

Une société spécialisée dans les caravanes nous a raconté avoir été piratée également : quelques heures plus tard, sa chaine a été transformée en publicité pour Adobe After Effects. Impossible de récupérer tout de suite le compte, les malfaiteurs modifient le mail de secours. La procédure auprès de Google peut-être très longue.

Si les téléchargements frauduleux de logiciel sont la dernière tendance, les pirates derrière ces pièges varient les arnaques. Ainsi, des promotions prétendument lancées par de célèbres Youtubeurs ont été repérées. Une vidéo mettant en avant des offres de MrBeast, un streamer américain avec 122 millions d’abonnés, a été visionné plus de 156 000 fois avant d’être retirée par YouTube. Les arnaques aux cryptomonnaies sont tout aussi populaires et ont déjà touché plusieurs youtubeurs.

Une arnaque mettant en avant des promotions sur produits offertes par MrBeast, un célèbre youtubeur. // Source : Numerama
Une arnaque mettant en avant des promotions offertes par MrBeast, un célèbre youtubeur. // Source : Numerama

La chaine d’infection « 911 »

Comment opèrent ces hackers ? Les chercheurs en cyber de Sekoia se sont penchés sur ces équipes de pirates russophones baptisées Traffers Team, du russe « Траффер », celui qui aide au trafic. « Ils sont en première ligne dans la nouvelle chaîne d’infection. Ces groupes proposent leur service sur les forums fréquentés par les hackers afin de propulser une vidéo sur YouTube par exemple. Des manuels sont fournis pour suivre chaque étape de l’attaque, en partant du référencement jusqu’au vol d’identifiants » nous explique Livia Tibirna, analyste de la menace cyber chez Sekoia.io.

La méthode d’infection par YouTube est connue sur les forums de hackers russophones sous le nom de code « 911 ». « Le traffer » utilise des services de transferts tels que Mega, Mediafire, OneDrive, Discord ou Github pour laisser les internautes télécharger les logiciels malveillants. Le fichier installé est souvent une archive protégée par un mot de passe pour le rendre indétectable.

Le cœur de ce système repose sur le stealer, un type de malware devenu très populaire. Une fois téléchargé, ce logiciel fouille les dossiers d’un navigateur jusqu’à tomber sur des fichiers qu’il reconnait, comme un gestionnaire de mot de passe, par exemple, pour l’extraire et l’envoyer sur un serveur externe. Puisque l’on enregistre d’ordinaire plusieurs mots de passe sur Google, les pirates n’ont qu’à se servir.

Les malfaiteurs chercheront ensuite à revendre les données dérobées ou se connecter à divers comptes pouvant leur rapporter de l’argent : e-commerce, crypto-monnaies. À noter que certaines équipes se chargent uniquement du référencement sur YouTube quand d’autres s’occupent de toute la chaîne d’infection.

La méthode 911 privilégie d’abord la quantité de victimes à la qualité de l’attaque. Nous vous conseillons de vérifier d’éviter de cliquer sur les liens en description de vidéo sur YouTube, encore plus lorsque celle-ci ont été publiées dans la journée. Et puis on ne vous aidera pas à trouver des versions gratuites de Photoshop, donc c’est à vos risques et périls lorsque vous décidez de contourner le paiement.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.