YouTube hat in letzter Zeit einen Anstieg der Anzahl von Videos verzeichnet, die schädliche Links zu Infostealern in ihren Beschreibungen enthalten, wobei viele KI-generierte Personas verwenden, um die Zuschauer dazu zu bringen, ihnen zu vertrauen.
Cyber-Intelligence-Firma CloudSEK Berichte (öffnet in neuem Tab) dass es seit November 2022 einen massiven Anstieg von 200-300 % der auf die Video-Hosting-Website hochgeladenen Inhalte gegeben hat, die die Zuschauer dazu verleiten, bekannte Malware wie Vidar, RedLine und Raccoon zu installieren.
Die Videos geben vor, Tutorials zu sein, die zeigen, wie man kostenlos illegale Kopien beliebter kostenpflichtiger Designsoftware wie Adobe Photoshop, Premiere Pro, Autodesk 3ds Max und AutoCAD herunterlädt.
Vertrauenswürdig erscheinen
Die Tutorial-Videos wurden immer raffinierter, von Bildschirmaufnahmen und reinen Audio-Walkthroughs bis hin zur Verwendung von KI, um eine realistische Darstellung einer Person zu erstellen, die den Betrachter durch den Prozess führt, alles in dem Versuch, vertrauenswürdiger zu wirken.
CloudSEK stellt fest, dass KI-generierte Videos im Allgemeinen auf dem Vormarsch sind und für legitime Bildungs-, Rekrutierungs- und Werbezwecke verwendet werden, aber jetzt auch für schändliche Zwecke.
Infostealer dringen, wie der Name schon sagt, in das System eines Benutzers ein und stehlen wertvolle persönliche Informationen wie Passwörter und Zahlungsdetails und werden über böswillige Downloads und Links verbreitet, wie in diesem Fall in der Beschreibung von Videos. Diese Daten werden dann auf den Server des Angreifers hochgeladen.
CloudSEK spricht die Tatsache an, dass YouTube mit 2,5 Milliarden Nutzern pro Monat ein Hauptziel für Bedrohungsakteure ist, die den Algorithmus auf verschiedene Weise täuschen, um den automatisierten Inhaltsüberprüfungsprozess der Plattform zu umgehen.
Dazu gehören die Verwendung regionsspezifischer Tags, das Hinzufügen gefälschter Kommentare, um Videos legitim erscheinen zu lassen, und das einfache Überschwemmen der Plattform mit mehreren Videos, um entfernte und gesperrte Videos zu kompensieren. CloudSEK fand heraus, dass jede Stunde 5-10 dieser schädlichen Videos hochgeladen werden.
Zur Optimierung für SEO werden auch viele versteckte Links verwendet und zufällige Schlüsselwörter in verschiedenen Sprachen verwendet, damit der YouTube-Algorithmus sie am Ende empfiehlt.
Um die bösartige Natur der Links zu verschleiern, werden außerdem Linkverkürzungsdienste wie bit.ly sowie Links zu Datei-Hosting-Diensten wie MediaFire verwendet.
„Die Bedrohung durch Infostealer entwickelt sich schnell und wird immer raffinierter“, sagte CloudSEK-Forscher Pavan Karthick. „In einem besorgniserregenden Trend verwenden diese Bedrohungsakteure jetzt KI-generierte Videos, um ihre Reichweite zu vergrößern, und YouTube ist zu einer bequemen Plattform für sie geworden Verteilung.”
CloudSEK schlägt vor, dass „herkömmliche zeichenfolgenbasierte Regeln sich als unwirksam gegen Malware erweisen werden, die Zeichenketten dynamisch generiert und/oder verschlüsselte Zeichenketten verwendet“.
Stattdessen empfiehlt es Unternehmen, einen eher manuellen Ansatz zu verfolgen, bei dem die Taktiken und Techniken der Bedrohungsakteure genau überwacht werden, um Bedrohungen korrekt zu identifizieren.
Darüber hinaus schlägt CloudSEK vor, Sensibilisierungskampagnen durchzuführen und einfache Ratschläge zu geben, z. B. das Klicken auf unbekannte Links zu unterlassen und die Multi-Faktor-Authentifizierung zu verwenden, um Konten zu sichern, idealerweise mit einer Authentifizierungs-App.