日本プルーフポイント株式会社は4月3日、クラックされた海賊版のビデオゲームや関連コンテンツを宣伝し、マルウェアを配布している複数のYouTubeチャンネルを特定したと同社blogで発表した。
サイバー犯罪者は、企業と比べてセキュリティ対策が甘く、サイバー防御に関する知識を持っていないホームユーザーを標的にすることが多くなっており、個人の被害者はクレジットカード、暗号通貨ウォレット、その他の個人を特定できる情報(PII)などのデータをコンピュータに保存している可能性が高く、企業に対する攻撃と比べると金銭的な利益は大きくないが、犯罪者にとって魅力的であるとしている。
Proofpoint Emerging Threatsは、Vidar、StealC、Lumma Stealerを含む情報窃取マルウェアが、海賊版ソフトウェアやビデオゲームのクラックを装ってYouTube経由で配信されていることを確認しており、ソフトウェアのダウンロードやビデオゲームのアップグレードなどを無料で行う方法をエンドユーザーに動画で紹介しているが、説明文に記載されたリンクをクリックするとマルウェアがダウンロードされるとのこと。悪質な動画を掲載しているアカウントの多くは、不正アクセスで侵害されたり、正規ユーザーから譲渡されたアカウントと考えられるが、プルーフポイントのリサーチャーは、マルウェアを配信するためだけに作成され、数時間だけアクティブになる、攻撃者自身が作成・管理している可能性の高いアカウントを確認している。
Proofpoint Emerging Threatsでは同調査の間に、マルウェアを配布する24以上のアカウントと動画をYouTubeに報告し、YouTubeではそれらのコンテンツを削除している。
blogでは、侵害されたYoutubeのアカウントを示す指標として、投稿された動画と動画の間に大きな時差があること、以前に公開された動画と内容が大きく異なること、言語が異なること、動画の説明文に悪意のあるリンクが含まれていることなどを挙げ、プルーフポイントのリサーチャーが特定した実例を紹介し、解説を行っている。
