Trong cảnh quan đang ngày càng phát triển của các mối đe dọa mạng, hai nền tảng thường được coi là không gian an toàn cho việc tạo nội dung, học tập và mã nguồn mởHợp tác đã trở thành mục tiêu để phân phối phần mềm độc hại nhằm đánh cắp tiền điện tử và dữ liệu cá nhân - YouTube và gate.GitHub.

Vào năm 2024, cảnh đe doạ đã thay đổi và các tội phạm mạng đang sử dụng ngày càngcác phương pháp tinh vi để khai thác những nền tảng này, tận dụng sự phổ biến và danh tiếng đáng tin cậy của nền tảng của họ.

Vậy, tội phạm mạng đang sử dụng YouTube và GitHub như thế nào để lan truyền phần mềm độc hại và bạn có thể bảo vệ bản thân như thế nào?

Tại sao YouTube và GitHub là mục tiêu của phần mềm độc hại tiền điện tử

Nếu bạn là một người sáng tạo nội dung hoặc nhà khoa học dữ liệu, bạn tin tưởng YouTube và GitHub là những nền tảng an toàn, khiến chúng trở nên nguy hiểm hơn khi bị lạm dụng. Tại sao những nền tảng này hiện nay lại trở thành mục tiêu củaphần mềm độc hại về tiền điện tửphân phối?

Hãy khám phá những lý do:

Cơ sở người dùng lớn: Cả hai nền tảng đều có hàng triệu người dùng, cung cấp cho các tội phạm mạng một nguồn khổng lồ các nạn nhân tiềm năng.

Khả năng truy cập mở: Bất kỳ ai cũng có thể tải mã lên GitHub, cung cấp cho tội phạm mạng cơ hội rào cản thấp để ẩn các tập lệnh độc hại trong những gì dường như là các dự án nguồn mở hữu ích.

Tin cậy và uy tín: Mọi người tin tưởng nội dung họ tìm thấy trên hướng dẫn trên YouTube hoặc kho lưu trữ GitHub, làm cho việc che giấu phần mềm độc hại dưới dạng phần mềm hoặc công cụ hợp pháp dễ dàng hơn.

Tương tác người dùng: Sự tương tác cao của người dùng trên các nền tảng này, như đánh dấu kho lưu trữ GitHub hoặc xem các hướng dẫn trên YouTube, tạo ra một môi trường hoàn hảo để lây lan phần mềm độc hại nhanh chóng.

Thiếu sự cẩn thận: Nhiều người dùng tải tệp hoặc tuân theo hướng dẫn từ các nhà sáng tạo nội dung phổ biến mà không suy nghĩ thêm, cho phép phần mềm độc hại tràn qua mà không bị phát hiện.

Bạn có biết không? Các nền tảng phần mềm độc hại dưới dạng dịch vụ (MaaS) cung cấp phần mềm độc hại tinh vi cho bất kỳ ai sẵn lòng trả tiền, biến tội phạm mạng thành một dịch vụ có thể thuê. Những nền tảng này thường cung cấp các gói dịch vụ khác nhau, bao gồm cả các công cụ đánh cắp thông tin như RedLine, mục tiêu là ví tiền điện tử.

Cách phần mềm độc hại crypto lan truyền qua GitHub

GitHub — một nền tảng thường được sử dụng để chia sẻ mã nguồn mở — đã trở thành một mục tiêu tấn công mạng quan trọng. Danh tiếng của nó như một kho lưu trữ đáng tin cậy cho các nhà phát triển và người đam mê công nghệ đã làm cho việc giấu mã độc hại trở nên dễ dàng, chủ yếu nhằm vào ví tiền điện tử và thông tin cá nhân.

The Stargazers Ghost Network: Một trường hợp nghiên cứu

Vào tháng 7 năm 2024, Check Point Research đã phát hiện ra một mạng lưới phân phối phần mềm độc hại dưới dạng dịch vụ (DaaS) tinh vi được gọi là Mạng lưới ma Stargazers. Phần mềm độc hại này đã hoạt động trên GitHub ít nhất một năm.

Mạng này liên quan đến một loạt các tài khoản “ma” trông hợp pháp vì chúng tham gia vào các hoạt động GitHub điển hình, như kho lưu trữ có sự tham gia và theo dõi những người dùng khác. Điều này tạo ra ảo tưởng rằng chúng là những tài khoản thường xuyên đóng góp cho cộng đồng nguồn mở.

Tuy nhiên, những tài khoản ma này đã phân phối phần mềm độc hại bằng cách nhúng liên kết độc hại vào các kho lưu trữ trên GitHub của họ. Trong một chiến dịch đáng chú ý, mạng lưới đã lan truyền Atlantida Stealer, một họ phần mềm độc hại mới được thiết kế để đánh cắp ví tiền điện tử, thông tin đăng nhập và thông tin cá nhân có thể xác định (PII). Trong vòng bốn ngày, hơn 1.300 người dùng đã bị nhiễm phần mềm độc hại Atlantida Stealer thông qua các kho lưu trữ trên GitHub.

Các gia đình phần mềm độc hại lan truyền qua mạng bao gồm Atlantida Stealer, Rhadamanthys, Lumma Stealer và RedLine.

Làm thế nào họ có thể lạm dụng GitHub? Hãy tìm hiểu.

README.md như một con ngựa chiến: Bạn có thể nghĩ rằng tệp README.md trong một kho lưu trữ GitHub chỉ là một mô tả bình thường về dự án hoặc hướng dẫn sử dụng. Mẹo? Những tệp như vậy có thể chứa đầy các liên kết độc hại được ngụy trang thành tài nguyên hữu ích để tăng theo dõi trên mạng xã hội của bạn, dẫn đến lừa đảo hoặc phần mềm độc hại.

Sức mạnh của “stars” và “forks”: Trong GitHub, khi một dự án nhận được nhiều lượt “stars” hoặc được “fork” thường xuyên, nó sẽ trở nên phổ biến và đáng tin cậy. Kẻ tấn công mạng lợi dụng điều này bằng cách tạo nhiều tài khoản giả (hoặc “ghost” accounts) để “star” và “fork” các kho lưu trữ của họ, làm cho mã độc hại của họ trông chính đáng. Một dự án có nhiều “stars” càng nhiều thì dự án đó trông đáng tin cậy hơn ở cái nhìn đầu tiên. Người dùng thường tin tưởng vào những dự án có nhiều sự tham gia mà không khám phá sâu hơn những gì đang được cung cấp.

Sự quay vòng không ngừng của tài khoản: Kẻ tội phạm mạng như Stargazers Ghost Network thường luôn vượt lên một bước. Để trốn tránh phát hiện, họ liên tục tạo tài khoản mới và xoay vòng hoạt động của họ, làm cho việc ngăn chặn các hoạt động độc hại của họ trở nên khó khăn ngay cả sau khi nền tảng cấm họ.

Phần mềm độc hại ẩn trong các phiên bản phát hành: Các tập tin độc hại được ẩn trong các lưu trữ được bảo vệ bằng mật khẩu (như tập tin .zip hoặc .7z), làm cho chúng khó phát hiện hơn. Những tập tin này thường được giả mạo thành phần mềm chính thức và được tải xuống bởi người dùng không ngờ tới.

Có thể đáng lo ngại hơn là cách những tài khoản ma này đã trở thành một doanh nghiệp web tối (được cho thuê để tăng tính hợp pháp). Tội phạm thu phí từ người khác để tạo ra sự chú ý, tạo ra các dự án độc hại và hiện thân cho sự tin tưởng. Mạng lưới ma Stargazers đã kiếm được.xung quanh$100,000 thông qua các dịch vụ này.

Bạn có thể tránh rơi vào bẫy của các tội phạm mạng bằng cách hiểu rõ về các kỹ thuật thao túng ở trên.

Bạn có biết không? Khi bạn “star” một kho lưu trữ trên GitHub, bạn đang đánh dấu nó để sử dụng sau này. Đó là cách để thể hiện sự đánh giá hoặc quan tâm của bạn đối với một dự án. Ngược lại, “forking” một kho lưu trữ cho phép bạn tạo một bản sao của nó. Điều này cho phép bạn thử nghiệm, thay đổi hoặc thậm chí xây dựng dự án gốc mà không ảnh hưởng đến phiên bản gốc.

Cách phần mềm độc hại liên quan đến tiền điện tử được ẩn trong YouTube

Với hơn 2,5 tỷ người dùng, YouTube đã trở thành một nền tảng phổ biến cho các hướng dẫn, nội dung giải trí và giáo dục. Số lượng người dùng khổng lồ này là mục tiêu lợi nhuận hấp dẫn cho các tên tội phạm mạng muốn khai thác người dùng mà không hề hay biết. Phương pháp? Video đánh lừa, hướng dẫn giả mạo và các liên kết độc hại được nhúng trong mô tả video.

Ví dụ, tội phạm mạng thường sử dụng video có nội dung tuyên bố cung cấp các phiên bản ‘cracked’ của phần mềm phổ biến, như AutoCAD, Adobe After Effects hoặc Photoshop, thu hút những người dùng không muốn hoặc không thể trả tiền cho các phiên bản chính thức.

Nhiều người không nhận ra rằng việc tuân theo hướng dẫn video này có thể dẫn họ tải xuống phần mềm độc hại, không phải là phần mềm mà họ hy vọng.

Một ví dụ thực tế: Lumma Stealer

Phần mềm độc hại Lumma Stealer đã được phát tán trên YouTube trong suốt năm 2024. Nó được thiết kế để trích xuất thông tin cực kỳ nhạy cảm, như mật khẩu trình duyệt đã lưu, cookie và thậm chí là thông tin đăng nhập ví tiền điện tử.

Hãy hiểu cách thức hoạt động của điều này:

Phần mềm độc hại được ẩn trong các tệp ZIP: Kẻ tội phạm mạng đã đóng gói phần mềm độc hại trong một tệp ZIP mà người dùng được yêu cầu tải xuống thông qua mô tả video.

Video hướng dẫn đánh lừa: Các video được giả mạo thông qua hình thức hướng dẫn hoặc “cách làm” cài đặt phần mềm, nhưng sau khi người dùng thực hiện theo các bước, họ không biết rằng máy tính của mình đã bị nhiễm phần mềm độc hại.

Loại tấn công này tirời vàò niềm tin mà những người dùng đặt vào YouTube. Sau tất cả, khi một video có hàng trăm nghìn lượt xem và những bình luận tích cực, nó không có vẻ như là một điều gì đó có thể gây hại cho máy tính của bạn. Đây chính xác là điều làm cho những cuộc tấn công này trở nên hiệu quả: Chúng hòa tan vào nội dung hợp pháp một cách hoàn hảo.

Bạn có biết? Những người tạo phần mềm độc hại đã nghĩ ra một phương pháp hiệu quả cao để phân phối phần mềm độc hại bằng cách sử dụng nhận xét trên kho lưu trữ GitHub công khai. Những nhận xét này thường bao gồm một liên kết đến một kho lưu trữ được mã hóa được lưu trữ trên Mediafire [.]com, cùng với mật khẩu chung “changeme” để truy cập tệp. Khi nạn nhân tải xuống và giải nén kho lưu trữ, dữ liệu của họ sẽ dễ bị xâm phạm.

Session hijacking và stream-jacking: Những lo ngại ngày càng tăng

Kẻ tội phạm mạng cũng đã bắt đầu sử dụng các kỹ thuật tiên tiến hơn như chiếm đoạt phiên làm việc, mà thậm chí không cần mật khẩu hoặc thông tin đăng nhập của bạn.

Thay vào đó, nó chiếm đoạt cookie phiên của bạn - các tệp nhỏ theo dõi phiên hoạt động của bạn trên các nền tảng như YouTube hoặc Google. Với những cookie phiên này, kẻ tấn công có thể bypassxác thực hai yếu tố (2FA) và truy cập vào tài khoản của bạn mà không cần mật khẩu của bạn.

Vào tháng 3/2024, một chiến dịch phần mềm độc hại đã được phát hiện lây lan thông qua các mô tả video trên YouTube. Phần mềm độc hại này được thiết kế để đánh cắp cookie phiên, cho phép kẻ tấn công chiếm quyền điều khiển tài khoản người dùng và lan rộng hơn.

Vào năm 2023, công ty An toàn thông tin Bitdefender đã xác định một kỹ thuật gọi là “stream-jacking,” mà các tội phạm mạng đã sử dụng để chiếm đoạt các tài khoản nổi tiếng, thường xuyênvới sự xuất hiện của deepfakescủa Elon Musk và nội dung Tesla để lừa đảo người dùng.

Bằng cách sử dụng email lừa đảogiả mạo như là các đề xuất hợp tác, hacker cài đặt phần mềm độc hại Redline Infostealer, nắm quyền kiểm soát tài khoản ngay cả khi có 2FA. Những kẻ lừa đảo này đưa người dùng đến các trang web lừa đảo tiền điện tử bằng cách sử dụng liên kết độc hại hoặc mã QR được nhúng trong video.

Nội dung gốc đã bị xóa hoặc ẩn đi, và các mô tả đã được thay đổi để giống với các kênh chính thức của Tesla. Sau khi phát hiện hoạt động đáng ngờ, YouTube thường đóng các tài khoản này, gây thiệt hại đáng kể cho chủ sở hữu hợp pháp, bao gồm video, người đăng ký và việc kiếm tiền.

Bạn có biết không? Các cuộc tấn công lừa đảo thường sử dụng các miền độc đáo để lừa người dùng tải về phần mềm độc hại hoặc tiết lộ thông tin nhạy cảm. Kẻ tội phạm mạng sử dụng sitesnhư pro-swapper[.]com, fenzor[.]com và vortex-cloudgaming[.]com, giả mạo các nền tảng hợp pháp để lừa đảo nạn nhân. Luôn xác minh tính xác thực của các trang web trước khi tải xuống tệp hoặc nhập thông tin cá nhân.

Cách quan trọng để bảo vệ bản thân khỏi phần mềm độc hại liên quan tới tiền điện tử trên YouTube và GitHub

Cho sự gia tăng phổ biến của các cuộc tấn công mạng, điều này quan trọng hơn bao giờ hết để người dùng tỉnh táo. Dưới đây là một số cách để bảo vệ bản thân:

Giám sát tài khoản của bạn: Nhiều nền tảng, bao gồm cả Google và GitHub, cho phép bạn xem nhật ký đăng nhập gần đây và các thiết bị được kết nối với tài khoản của bạn. Nếu có bất kỳ điều gì đáng ngờ, hãy ngay lập tức thay đổi mật khẩu và đăng xuất khỏi tất cả các phiên.

Sử dụng mật khẩu mạnh, duy nhất và bật 2FA: Mặc dù 2FA không hoàn hảo chống lại việc chiếm quyền điều khiển phiên, nhưng nó vẫn là một lớp bảo vệ thiết yếu. Sử dụng mật khẩu mạnh, duy nhất cho mỗi nền tảng cũng có thể ngăn kẻ tấn công truy cập vào nhiều tài khoản nếu một tài khoản bị xâm phạm.

Sử dụng MFA chống phishing: Chọn khóa bảo mật phần cứng hoặc MFA dựa trên sinh trắc họcđể có sự bảo vệ mạnh hơn chống lại các cuộc tấn công lừa đảo.

Kiểm tra liên kết trước khi nhấp: Luôn kiểm tra tính hợp lệ của các liên kết trong mô tả video YouTube hoặc kho lưu trữ GitHub trước khi nhấp. Tìm kiếm dấu hiệu cho thấy có thứ gì đó không ổn, như là địa chỉ URL được rút gọn hoặc tên miền không khớp với cấu trúc thông thường của nền tảng.

Hãy hoài nghi về các ưu đãi phần mềm miễn phí: Nếu có vẻ quá tốt để tin, có lẽ đó là sự thật. Hãy cẩn trọng với bất kỳ video hoặc kho lưu trữ GitHub nào cung cấp phần mềm bẻ khóa, đặc biệt là nếu nó yêu cầu tải xuống tệp từ các trang web không quen thuộc. Luôn tải phần mềm từ các nguồn chính thống, đáng tin cậy.

Cập nhật phần mềm thường xuyên: Việc duy trì hệ điều hành, phần mềm diệt virus và ứng dụng của bạn luôn cập nhật là rất quan trọng để bảo vệ khỏi những lỗ hổng đã biết mà phần mềm độc hại tận dụng.

Tương lai của phân phối phần mềm độc hại

Rất tiếc là xu hướng sử dụng các nền tảng như YouTube và GitHub để phân phối phần mềm độc hại không có dấu hiệu giảm đi. Khi các nền tảng như vậy tiếp tục mở rộng, sự sáng tạo và tinh vi của các tội phạm mạng tìm cách khai thác chúng cũng sẽ tăng lên.

Hướng tới tương lai, tội phạm mạng tích hợp công cụ được trang bị AIcó thể khiến các cuộc tấn công này trở nên khó phát hiện hơn. Hãy tưởng tượng các tài khoản ma AI có thể tự động tương tác với người dùng, tùy chỉnh các tin nhắn lừa đảo dựa trên tương tác và phản hồi cá nhân thời gian thực. Điều này có thể dẫn đến một làn sóng phân phối phần mềm độc hại thuyết phục hơn, gần như không thể phân biệt được với hoạt động chính thức.

Hiểu và giảm thiểu những rủi ro này là rất quan trọng trong một thế giới nơi sự áp dụng tiền điện tử đang ngày càng phát triển, và các nền tảng kỹ thuật số đang trở thành trung tâm của nhiều khía cạnh trong cuộc sống.

Người dùng phải luôn cảnh giác,các nền tảng phải nâng cao các biện pháp bảo mật và hợp tác giữa các chuyên gia an ninh mạng, nhà phát triển và các bên liên quan khác để đảm bảo một tương lai kỹ thuật số an toàn hơn.

Miễn trừ trách nhiệm:

1. Bài viết này được sao chép từ [gateGuneet Kaur], Tất cả các quyền tác giả thuộc về tác giả gốc [ cointelegraph]. Nếu có ý kiến ​​phản đối về việc tái in này, vui lòng liên hệ với Học cửa Gateđội ngũ và họ sẽ xử lý nhanh chóng.
2. Miễn trách nhiệm về trách nhiệm: Quan điểm và ý kiến được thể hiện trong bài viết này chỉ thuộc về tác giả và không đại diện cho bất kỳ lời khuyên đầu tư nào.
3. Các bản dịch của bài viết ra các ngôn ngữ khác được thực hiện bởi nhóm Gate Learn. Trừ khi được đề cập, việc sao chép, phân phối hoặc đạo văn các bài viết đã được dịch là không được phép.