晴時多雲

已經加好友了,謝謝
歡迎加入【自由3C科技】
按個讚 心情好
已經按讚了,謝謝。

大規模惡意YouTube 影片暗藏木馬竊個資!資安人員揭露新的攻擊手法

2021/10/26 11:31 文/記者劉惠琴

資安人員揭露近期在YouTube平台上的惡意攻擊活動,利用免費授權、軟體破解、挖礦等影片主題內容作為誘耳,於說明欄提供好康優惠或下載連結,藉此夾帶有惡意軟體與木馬程式的網址,引誘網友點擊,竊取個資。(圖翻攝Bleepingcomputer)

據外媒Bleepingcomputer報導,近期在YouTube平台上,開始出現一波大規模的惡意攻擊活動,利用竊取得來的Google 帳號成立大量的惡意YouTube頻道,於影片或影片說明中散播夾帶有惡意軟體與木馬程式的網址連結。

來自資安業者Cluster25 旗下的安全研究人員分析指出,一旦不慎點入連結中招後,駭客就能從遠端入侵到用戶所使用的電腦裝置上,並趁機竊取用戶的個資,包括如:密碼、瀏覽器中的Cookie暫存記錄檔案(如信用卡號)、加密貨幣錢包與FTP 憑證等各式檔案。之後就可能會把這些不當手法取得的檔案資料拋到暗網黑市販售,或用於執行加密貨幣的詐騙交易活動。

目前發現這類帶有惡意攻擊活動的YouTube頻道,其主要影片內容大多是以時下熱門話題掛帥,像是:軟體破解、免費授權、操作指南、挖礦、加密貨幣、遊戲作弊外掛、VPN 軟體等主題作為誘餌,藉此吸引用戶點擊影片。並在影片內容說明中聲稱可點擊該頻道提供的網址連結,前往獲取好康優惠折扣碼或下載工具等的描述,藉由惡意網址連結散播並發動帶有RedLine 惡意軟體與觸發Racoon Stealer 木馬程式的攻擊活動。甚至,僅需花 20 分鐘就可以一次大量上傳100支影片,與創建 81 個新的YouTube 頻道。並依此模式不斷循環地大量上傳惡意YouTube影片。

由於YouTube平台並不會特針對影片說明欄的文字內容去做網址連結的審查,也讓不肖駭客把影片說明欄作為散播惡意網址的管道途徑。提醒用戶不要輕易去點擊來路不明的網址連結、或下載軟體安裝。若想確認網址連結或下載連結是否為安全可信任的站點,建議可先透過網址惡意檢查服務線上工具平台,如VirusTotal來作辨識。此外並善用電腦防毒工軟體與變更電腦裝置密碼的方式,來作防範。若電腦已偵測到惡意程式時,除了刪除該檔案之外,也要立即變更儲存在瀏覽器上的密碼。

就上述這項大規模的惡意YouTube影片攻擊活動,Google官方回應表示,目前正採取行動來阻擋惡意的攻擊活動,並不斷改進偵測方式與工具。呼籲用戶必須瞭解各種攻擊活動對個資安全的威脅,並採取適當的防範措施。

你可能也想看

 「百萬訂閱」10 萬元就賣了!Google 揭駭客盜 YouTube 帳號手法

不用抽 不用搶 現在用APP看新聞 保證天天中獎  點我下載APP  按我看活動辦法

網友回應