Foto: miss.cabul/Shutterstock
Cyberkriminelle erpressen YouTuber, um bösartige Crypto-Mining-Malware in deren Videos einzufügen. Die Hacker nutzen dabei die zunehmende Verbreitung sogenannter „Windows Packet Divert“-Treiber aus. Diese Treiber ermöglichen es Internetnutzern, darunter auch Russen, geografische Beschränkungen zu umgehen und so auf Websites in anderen Ländern zuzugreifen.
Treiber immer beliebter
Untersuchungen des Cybersicherheitsunternehmens Kaspersky haben ergeben, dass diese Treiber in den letzten sechs Monaten verstärkt verwendet wurden. Sie wurden auf 2,4 Millionen Geräten entdeckt und die Zahl der Downloads steigt seit September 2024 kontinuierlich an. Diese wachsende Popularität blieb auch Cyberkriminellen nicht verborgen.
Die zunehmende Verbreitung dieser Treiber führte zu einem Anstieg von DIY-Videos auf YouTube, die detailliert erklären, wie solche Treiber heruntergeladen und installiert werden. Kriminelle nutzen dies aus, indem sie Malware als vermeintliche Tools zur Umgehung von Beschränkungen tarnen. Dabei erpressen sie YouTuber, bestimmte Links zu SilentCryptoMiner in ihre Videos einzufügen.
Taktik der Kriminellen
Eine gängige Methode der Hacker ist es, falsche Urheberrechtsbeschwerden gegen Videos einzureichen. Sie behaupten dann, die ursprünglichen Entwickler der Treiber zu sein, und setzen die betroffenen YouTuber unter Druck, ihre Videos erneut hochzuladen – diesmal mit einem bösartigen Link zu einer manipulierten Website.
Laut Kaspersky haben die verantwortlichen Kriminellen mit dieser Taktik etwa 2.000 Computer in Russland mit Crypto-Mining-Malware infiziert. Die tatsächliche Zahl könnte jedoch höher liegen, falls die Hacker diese Methode auch in Telegram-Gruppen angewendet haben.
Anfang Januar berichteten wir bereits darüber, dass Telegram bei Cyberkriminellen zunehmend beliebter wird. In einem Fall wurde ein YouTuber mit 60.000 Abonnenten ins Visier genommen. Bei einer Videoanleitung zum Umgehen von Einschränkungen, die über 400.000 Aufrufe hatte, fügte der Blogger eine bösartige Website-Link hinzu. 40.000 Zuschauer luden das infizierte Programm herunter.
Crypto-Mining-Malware
Während Crypto-Mining-Malware schon seit einigen Jahren existiert, stellt die Erpressung von YouTubern mittels falscher Urheberrechtsansprüche eine neuartige Taktik dar. Indem die Hacker das Vertrauen zwischen YouTubern und deren Zuschauern ausnutzen, schaffen sie breite Angriffsflächen zur Verbreitung der Malware.
Die Hacker setzen dabei auf den SilentCryptoMiner, der auf der Open-Source-Software XMRig basiert. Mit dieser können Tokens wie Ethereum (ETH) und Monero (XMR) über die infizierten Computer geschürft werden. Die Malware nistet sich in bestimmten Systemen der Rechner ein und kann von den Hackern aus der Ferne gesteuert werden.
Da sich Cyberkriminelle zunehmend auf Crypto-Mining-Malware konzentrieren, empfiehlt Kaspersky Nutzern, besonders wachsam zu sein und die Quelle jeder Datei sorgfältig zu überprüfen. Falls ein YouTuber dazu auffordert, den Virenschutz zu deaktivieren oder behauptet, eine Datei sei vollkommen sicher, ist besondere Vorsicht geboten.
