Kaspersky dévoile la dernière stratégie en date des cybercriminels : faire chanter des Youtubeurs pour qu'ils diffusent des logiciels malveillants de minage de cryptomonnaie

Les chercheurs de l'équipe globale de recherche et d'analyse (GReAT) de Kaspersky ont découvert une campagne malveillante sophistiquée dans laquelle les acteurs de la menace font du chantage auprès de créateurs de contenus de YouTube pour qu'ils distribuent des logiciels malveillants. Les attaquants procèdent en déposant des soi-disant plaintes pour violation des droits d'auteur à l'encontre des créateurs, et les menacent d'en déposer une troisième, ce qui aurait pour effet la suppression des chaînes Youtube des personnes « incriminées ». Pour protéger leur chaîne et le fruit de leur travail, les vidéastes font la promotion de liens malveillants à leur insu, pensant ainsi protéger leur chaîne de la sanction.
La télémétrie de Kaspersky a confirmé que plus de 2 000 utilisateurs finaux ont été infectés par le logiciel malveillant après avoir téléchargé l'outil diffusé par ce procédé, mais le nombre réel d'utilisateurs touchés est probablement beaucoup plus élevé. Une des chaînes YouTube compromises compte 60 000 abonnés, et a publié plusieurs vidéos contenant des liens malveillants, visionnées au total plus de 400 000 fois. L'archive infectée hébergée sur un site web malveillant a enregistré plus de 40 000 téléchargements.

Le malware, baptisé SilentCryptoMiner, est déguisé en outil de contournement des restrictions imposées par Internet, exploitant la demande croissante pour ce type de logiciel. Les données de Kaspersky montrent une augmentation significative de l'utilisation des pilotes légitimes Windows Packet Divert, une technologie couramment utilisée dans les utilitaires de contournement, avec un nombre de détections de l'outil étant passé d'environ 280 000 en août 2024 à près de 500 000 en janvier 2025, pour un total de plus de 2,4 millions de détections sur six mois.

Les attaquants ont spécifiquement ciblé les utilisateurs à la recherche de ces outils de contournement en modifiant un utilitaire légitime de contournement de l'inspection approfondie des paquets (DPI) publié à l'origine sur GitHub. Leur version malveillante conserve la fonctionnalité d'origine pour éviter tout soupçon, mais installe secrètement SilentCryptoMiner, qui exploite les ressources informatiques de l'appareil infecté pour miner des cryptomonnaies à l'insu de l'utilisateur et sans son consentement, dégradant considérablement les performances de son appareil et augmentant sa facture d'électricité.

« Cette campagne témoigne d'une évolution préoccupante des tactiques de distribution des logiciels malveillants », observe Leonid Bezvershenko, chercheur en sécurité au GReAT de Kaspersky. « Même si elle cible initialement des utilisateurs russophones, cette stratégie pourrait facilement s'étendre à d'autres régions. Le stratagème tire efficacement parti des créateurs de contenu et de leurs loyales communautés. Cette tactique pourrait fonctionner sur tous les marchés où les utilisateurs recherchent des outils pour contourner les restrictions en ligne. »

Lorsque les solutions de sécurité détectent et suppriment les composants malveillants, le programme d'installation encourage les utilisateurs à désactiver leur protection antivirus avec des messages tels que « Fichier introuvable, désactivez tous les antivirus et re-téléchargez le fichier, cela vous aidera ! », compromettant encore davantage la sécurité du système.
Le GReAT a identifié plusieurs indicateurs de compromission, notamment des connexions à des domaines tels que swapme[.]fun et canvas[.]pet, ainsi que des hachages de fichiers spécifiques. Les attaquants font preuve de persistance, créant rapidement de nouveaux canaux de distribution lorsque les précédents sont bloqués.