YouTube a récemment connu une augmentation du nombre de vidéos contenant des liens nuisibles dans leurs descriptions, beaucoup d'entre elles utilisant des personnages générés par l'IA pour tromper les spectateurs et les inciter à leur faire confiance.
La société de cybersécurité CloudSEK signale que, depuis novembre 2022, le contenu téléchargé sur le site web d'hébergement de vidéos a augmenté de 200 à 300 %, incitant les spectateurs à installer des logiciels malveillants bien connus tels que Vidar, RedLine et Raccoon.
Les vidéos prétendent être des tutoriels montrant comment télécharger gratuitement des copies illégales de logiciels de conception populaires et payants, tels qu'Adobe Photoshop, Premiere Pro, Autodesk 3ds Max et AutoCAD.
Paraître digne de confiance
Les vidéos tutorielles sont de plus en plus sophistiquées, allant des enregistrements d'écran et des explications audio uniquement, jusqu'à l'utilisation de l'IA pour créer une représentation réaliste d'une personne guidant le spectateur tout au long du processus, le tout dans le but de paraître digne de confiance.
CloudSEK note que les vidéos générées par l'IA en général sont de plus en plus nombreuses, utilisées à des fins légitimes d'éducation, de recrutement et de promotion, mais aussi désormais à des fins malveillantes.
Les "Infostealers", comme leur nom l'indique (voleurs d'infos), pénètrent dans le système d'un utilisateur et volent des informations personnelles précieuses, telles que les mots de passe et les détails de paiement. ils se propagent par le biais de téléchargements et de liens malveillants, tels que ceux figurant dans la description des vidéos, comme c'est le cas dans cette affaire. Ces données sont ensuite téléchargées sur le serveur du cybercriminel.
CloudSEK tient compte du fait qu'avec 2,5 milliards d'utilisateurs par mois, YouTube est une cible de choix pour ces pirates informatiques qui, afin d'échapper au processus d'examen automatisé du contenu de la plateforme, s'efforcent de tromper l'algorithme de diverses manières.
Il s'agit notamment d'utiliser des balises spécifiques à une région, d'ajouter de faux commentaires pour faire passer les vidéos pour légitimes, et de simplement essaimer la plateforme avec de multiples vidéos pour compenser toutes celles qui seront supprimées et interdites. CloudSEK a constaté que 5 à 10 de ces vidéos malveillantes sont téléchargées chaque heure.
Afin d'optimiser le référencement, de nombreux liens cachés sont également utilisés, ainsi que des mots-clés aléatoires dans différentes langues afin que l'algorithme de YouTube finisse par les recommander.
En outre, pour dissimuler la nature malveillante des liens, des services de génération de liens courts tels que bit.ly sont utilisés, ainsi que des liens vers des services d'hébergement de fichiers tels que MediaFire.
"La menace des voleurs de données évolue rapidement et devient de plus en plus sophistiquée", a déclaré Pavan Karthick, chercheur chez CloudSEK. "Avec une tendance qui devient préoccupante, ces cybercriminels utilisent maintenant des vidéos générées par l'IA pour amplifier leur portée, et YouTube est devenu une plateforme pratique pour leur distribution."
CloudSEK suggère que "les règles traditionnelles basées sur les chaînes de caractères s'avéreront inefficaces contre les logiciels malveillants qui génèrent dynamiquement des chaînes de caractères et/ou utilisent des chaînes cryptées".
Il recommande plutôt aux entreprises d'adopter une approche plus manuelle, où les tactiques et les techniques des acteurs de la menace sont étroitement surveillées afin d'identifier correctement les menaces en question.
En outre, CloudSEK suggère de mener des campagnes de sensibilisation, en diffusant des conseils simples tels que s'abstenir de cliquer sur des liens inconnus et utiliser l'authentification multifactorielle pour sécuriser les comptes, idéalement à l'aide d'une application d'authentification.
