Xakep #305. Многошаговые SQL-инъекции
Сама по себе малварь, оснащенная бэкдорами, не является чем-то новым, однако использование YouTube для рекламы и распространения таких «инструментов» — достаточно новое веяние. Если раньше подобные видео с YouTube удаляли довольно оперативно, то в какой-то момент сотрудники Google, очевидно, перестали справляться с волной туториалов и демо малвари, захлестнувшими сервис. Так как механизмов автоматической фильтрации подобных видео у YouTube нет, еще в сентябре-октябре 2016 года журналисты заметили, что на YouTube можно найти тысячи роликов с демонстрацией и рекламой малвари, если искать по ключевым словам keylogger, exploit wordpress и так далее. Как правило, в описании роликов содержатся ссылки на скачивание или покупку рекламируемого в видео вредоносного ПО.
Searching YouTube for "exploit wordpress" yields over 40k videos. This explains why so many WP sites get hijacked pic.twitter.com/H6DHPEUQYr
— Catalin Cimpanu (@campuscodi) September 3, 2016
There are 186,000 search results on YouTube for the word "keylogger" .... I wonder where so many skids get the idea that "hacking is easy" pic.twitter.com/7uy7qWkDVY
— Catalin Cimpanu (@campuscodi) October 19, 2016
Тот факт, что YouTube стал неплохим бесплатным дополнением к торговым площадкам в даркнете и всевозможному спаму, также привлек внимание аналитиков компании Proofpoint. В блоге компании специалисты пишут, что простой поисковый запрос paypal scama дает на YouTube 114 000 результатов.
Исследователи провели анализ кода некоторых фишинговых инструментов, которые активно рекламируются и демонстрируются на YouTube. Такие наборы предлагают уже готовые решения для подделки страниц таких популярных сервисов, как Gmail, Amazon, Microsoft, PayPal и так далее. Вполне предсказуемо оказалось, что чаще всего подобная малварь оснащена бэкдорами.
Хотя распространяемые через YouTube фишинговые инструменты действительно работают, а не просто заражают машину незадачливого скрипт-кидди какой-нибудь гадостью, специалисты пишут, что в изученных ими образчиках вредоносного ПО наличествует скрытый код, который отправляет все перехваченные у жертв данные авторам малвари.
В заключение специалисты резюмируют, что от такой «нечестной игры» разработчиков малвари страдают даже не скрипт-кидди, которые ищут малварь на YouTube, а простые пользователи, чьи учетные и платежные данные в итоге все равно попадают в руки злоумышленников.
