1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. ユーチューバーへ偽の著作権侵害の警告を行い、マルウェアの拡散を脅迫

ユーチューバーへ偽の著作権侵害の警告を行い、マルウェアの拡散を脅迫

セキュリティニュース

投稿日時: 更新日時:

ユーチューバーへ偽の著作権侵害の警告を行い、マルウェアの拡散を脅迫

カスペルスキーは、2025年3月、Windows Packet Divertを悪用した新たなマルウェア拡散手口を指摘しました。今回の手口では、脅威アクターがYouTuberへ偽の著作権侵害の警告を行い、マルウェアの拡散や仮想通貨のマイナーを宣伝するよう脅迫しています。

背景と脅威の概要

Windows Packet Divert(WPD)というツールはインターネット検閲や政府の規制を回避する為のツールで、ロシアや中国などで人気のツールです。

今回確認された攻撃手法は、攻撃者はまずYouTuberの動画に対して虚偽の著作権侵害申し立てを行い、YouTubeの自動システムを通じて著作権侵害を適用させます。

この結果、YouTuberのチャンネルには警告が付き、複数回の著作権侵害の警告を受けるとチャンネルが停止されるリスクが生じます。

攻撃者は次にYouTuberへ連絡を取り、「著作権侵害の警告を解除するためには特定のリンクを動画説明欄に掲載する必要がある」と主張します。YouTuberはチャンネルが停止されることを恐れ、攻撃者の要求に従い、指定されたリンクを動画説明欄に追加します。

このリンクにはマルウェアが仕込まれたアーカイブファイルのリンクgitrok comが掲載されていました。

カスペルスキーのテレメトリーによると、このマルウェア攻撃はロシアで2,000人以上の被害者に影響を与えましたが、全体の数字はもっと多い可能性があります。

感染したチャンネルの1つは、6万人のチャンネル登録者を持つYouTuberで、検閲ブロックを回避する手順を説明した動画をいくつか投稿し、説明に悪意のあるアーカイブへのリンクを追加しました。これらの動画の再生回数は40万回を超えています。

説明は後に編集され、リンクは悪質なサイト gitrok comを指していて、ビデオが投稿された時点では40,000 回以上のダウンロードが表示されていました。

一般的には 著作権侵害の警告を 3 回受けた場合は、アカウントと関連付けられているチャンネルがすべて停止されるので、YouTuberとしては対応しようと危機感が発生する為その危機感を突いたサイバー攻撃となっています。

攻撃の流れ

前段の通り、攻撃者はまず、YouTuberの動画に対して虚偽の著作権侵害申し立てを行い、YouTubeの自動システムを通じて著作権侵害を適用させます。

攻撃者はまず、YouTuberの動画に対して虚偽の著作権侵害申し立てを行い、YouTubeの自動システムを通じて著作権侵害を適用させます。

YouTubeの自動システムを通じて著作権侵害のメッセージ

画像:カスペルスキー

メッセージの翻訳

公式ウェブサイト: https://gitrok.com すべてのトラフィックは、このサイトに厳密に送信される必要があります。GitHub は、開発者専用のリポジトリのままです。 [REDACTED] を宣伝したソーシャル ネットワークがある場合は、公式ウェブサイトについて言及した新しい投稿を公開してください。[REDACTED] は、今後はそこからのみダウンロードできることを明記してください。

 

このリンクをクリックした視聴者は、GitHub上にホストされた「Windows Packet DivertWPD)」ツールをダウンロードします。しかし、これは実際にはSilentCryptoMinerというマルウェアを仕込んだ改変版であり、視聴者のPCにインストールされてしまい、ウイルス感染することになります。

Pythonで書かれたマルウェアローダー

マルウェアの実行ファイルはPythonで作成され、PyInstallerを使用して実行形式に変換されます。

マルウェアローダーは、canvas[.]petswapme[.]funといったドメインから次段階のペイロードをダウンロードし、t.pyという名前でローカルに保存し実行します。

また、このペイロードがロシアのIPアドレスのみからダウンロード可能となっており、ロシア国内のユーザーが標的になっていた可能性があります。

小規模チャンネルのリンクには要注意

YouTubeの視聴者は、動画説明欄に記載されているリンクを慎重に扱うことが重要です。特に、小規模〜中規模のチャンネルが掲載しているリンクには注意が必要であり、GitHubや不明なサイトからソフトウェアをダウンロードしないようにすることが推奨されます。

まとめ

今回の攻撃は、YouTubeの著作権管理システムを悪用した巧妙な手口であり、YouTuberと視聴者の双方に大きなリスクをもたらしています。特に、YouTube上での影響力が大きいクリエイターほど標的になりやすく、慎重な対策が求められます。

今後も、YouTubeやセキュリティ企業による対策が求められる一方で、クリエイターと視聴者自身もセキュリティ意識を高め、不審なリンクやソフトウェアに注意を払うことが重要です。

確認されたマルウェアドメインとIPアドレス

  • gitrok[.]com
  • swapme[.]fun
  • canvas[.]pet
  • 9x9o[.]com
  • 193.233.203[.]138
  • 150.241.93[.]90

 

参照元

Undercover miner: how YouTubers get pressed into distributing SilentCryptoMiner as a restriction bypass tool

関連記事

WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577)ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577) 仮想通貨エアドロ「ハムスターコンバット」は世界的に1億5000万人がインストールされているとされています。ESETはこの「ハムスターコンバット」の偽のダウンロードページでマルウェアが配布されている事を警告しました。偽のハムスターコンバットでマルウェア配布を確認 Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112)Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112) ランサムウェア攻撃グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577)ランサムウェア グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577) 偽のグーグルクロームアップデートでPowerShellを実行させる偽のグーグル クロームのエラーで悪意のあるPowerShellを実行させるよう誘導 偽のCrowdStrike(クラウドストライク) アップデートがマルウェアを拡散偽のCrowdStrike(クラウドストライク) アップデートがマルウェアを拡散 北朝鮮のハッカー集団「ラザルス」がWindowsのゼロデイ脆弱性を悪用(CVE-2024-38193)北朝鮮のハッカー集団「ラザルス」がWindowsのゼロデイ脆弱性を悪用(CVE-2024-38193) PHPの脆弱性(CVE-2024-4577)を悪用してハッカーがバックドアを仕掛けるPHPの脆弱性(CVE-2024-4577)を悪用してハッカーがバックドアを仕掛ける