Des cybercriminels menacent des YouTubeurs avec de fausses plaintes pour droits d'auteur, pour les pousser à propager des logiciels malveillants de minage de cryptomonnaie, déguisés en outils de contournement.
Une campagne de cyberattaques sophistiquée cible actuellement les créateurs de contenu sur YouTube. Des cybercriminels déposent de fausses plaintes pour violation de droits d'auteur et menacent les vidéastes d'une troisième plainte, qui entraînerait la suppression de leur chaîne, comme le veulent les conditions générales du service vidéo. Du coup, pour protéger leur travail, ces créateurs partagent, à leur insu, des liens malveillants déguisés en outils de contournement des restrictions d'accès à Internet.
Proton VPN est l'un des fournisseurs VPN qui a le plus évolué au cours des derniers mois. Affichant l'une des plus belles interfaces du marché, Proton VPN intègre désormais un accélérateur de VPN qui augmente jusqu'à 400 % les vitesses de connexion.
Offre partenaire
Le chantage aux droits d'auteur sur YouTube, une nouvelle arme cybercriminelle
L'équipe globale de recherche et d'analyse (GReAT) de Kaspersky nous explique ce lundi 10 mars comment fonctionne cette technique pernicieuse. Les attaquants commencent par déposer deux plaintes (ou strikes) pour violation de droits d'auteur contre des YouTubeurs à succès. Ensuite, ils les menacent d'en déposer une troisième, qui serait synonyme de bannissement. Menacés de perdre leur chaîne, les créateurs font donc la promotion de liens malveillants, en croyant protéger le fruit de leur travail.
La télémétrie de Kaspersky a tout de même confirmé que plus de 2 000 utilisateurs finaux ont été infectés, mais le nombre réel de victimes serait en réalité bien plus élevé. Une chaîne YouTube compromise comptant 60 000 abonnés a publié plusieurs vidéos contenant ces liens malveillants, vidéos qui ont totalisé plus de 400 000 vues. L'archive infectée hébergée sur un site web malveillant a quant à elle été téléchargée plus de 40 000 fois.
Le malware, baptisé SilentCryptoMiner, se présente comme un outil de contournement des restrictions internet. Il conserve sa fonctionnalité d'origine pour éviter tout soupçon, mais il installe secrètement un programme qui exploite les ressources informatiques de l'appareil infecté pour miner des cryptomonnaies, ce qui dégrade considérablement les performances et augmente la facture d'électricité.
SilentCryptoMiner, le malware qui mine des cryptomonnaies à votre insu
Cette attaque intervient dans un contexte d'augmentation significative de la demande pour les outils de contournement des restrictions Internet. Selon les données de Kaspersky, l'utilisation des pilotes légitimes Windows Packet Divert est passée d'environ 280 000 détections en août 2024 à près de 500 000 en janvier 2025, pour plus de 2,4 millions de détections sur six mois.
Windows Packet Divert, qui est une technologie couramment employée dans ces utilisateurs, est un outil qui intercepte, modifie ou bloque les paquets réseau sur Windows, ce qui est utile pour la surveillance ou le filtrage du trafic Internet.
Les hackers ont d'ailleurs spécifiquement ciblé ce marché, en modifiant un utilitaire légitime de contournement de l'inspection approfondie des paquets (DPI) initialement publié sur GitHub. Pour compléter leur stratégie, lorsque les solutions de sécurité détectent et suppriment les composants malveillants, le programme d'installation encourage les utilisateurs à désactiver leur protection antivirus. Ils usent pour cela de messages trompeurs du type « Fichier introuvable, désactivez tous les antivirus et re-téléchargez le fichier, cela vous aidera ! ».
Leonid Bezvershenko, chercheur en sécurité au GReAT, nous alerte sur cette évolution des tactiques. « Cette campagne témoigne d'une évolution préoccupante des tactiques de distribution des logiciels malveillants. Même si elle cible initialement des utilisateurs russophones, cette stratégie pourrait facilement s'étendre à d'autres régions », indique-t-il.
Les experts ont identifié plusieurs indicateurs de compromission, notamment des connexions à des domaines tels que swapme[.]fun et canvas[.]pet, ainsi que des hachages de fichiers spécifiques. Il va donc falloir être prudent.
