Secondo l’ultimo Avast Threat Report le minacce di social engineering, che si basano sulla manipolazione umana, rappresentano la maggior parte delle minacce informatiche affrontate dai singoli individui nel 2024. Inoltre, le truffe, il phishing e il malvertising rappresentano il 90% di tutte le minacce sui dispositivi mobili e l’87% di quelle su desktop e il team di ricerca di Avast ha scoperto un aumento significativo delle truffe che sfruttano tattiche sofisticate come l’utilizzo della tecnologia deepfake, la sincronizzazione audio manipolata dall’intelligenza artificiale e il dirottamento di YouTube e di altri canali social per diffondere contenuti fraudolenti.

Proprio YouTube è diventato un canale particolarmente significativo per la criminalità. Secondo la telemetria di Avast, 4 milioni di utenti unici sono stati protetti dalle minacce su YouTube nel 2023, e circa 500.000 sono stati protetti nel periodo gennaio-marzo 2024.

I sistemi pubblicitari automatizzati, combinati con i contenuti generati dagli utenti, offrono ai criminali informatici la possibilità di aggirare le misure di sicurezza convenzionali, rendendo YouTube un canale potente per la distribuzione di phishing e malware. Tra le minacce più rilevanti sulla piattaforma vi sono i furti di credenziali da realtà come Lumma e Redline, le pagine di atterraggio di phishing e truffe e software malevolo camuffato da software o aggiornamento legittimo.

I truffatori si sono rivolti anche ai video come esca. Che si tratti di filmati di repertorio o di un elaborato deepfake, i truffatori utilizzano tutte le varietà di video nelle loro minacce. Una delle tecniche più diffuse consiste nello sfruttare personaggi famosi ed eventi mediatici significativi per attirare un vasto pubblico. Queste campagne utilizzano spesso video deepfake, creati dirottando i video ufficiali degli eventi e utilizzando l’intelligenza artificiale per manipolare la sincronizzazione dell’audio. Questi video fondono senza soluzione di continuità un audio alterato con immagini esistenti, rendendo più difficile per un occhio inesperto capire che sono tutt’altro che autentici.

 

YouTube funge inoltre da tramite per i sistemi di distribuzione del traffico (TDS), indirizzando le persone verso siti dannosi e sostenendo truffe che vanno da falsi omaggi a schemi di investimento.

deepfake avast

Alcune delle tattiche più comuni con cui YouTube viene sfruttato per le truffe includono:

  • Campagne di Phishing Mirate ai Creators: Gli aggressori inviano e-mail personalizzate ai creator di YouTube proponendo opportunità di collaborazione fraudolente. Una volta creatasi la fiducia, inviano link a del malware con la scusa che serva un software per la collaborazione, spesso portando al furto di cookie o alla compromissione dell’account
  • Compromissione delle descrizioni video: Gli aggressori caricano video con descrizioni contenenti link dannosi, mascherati da download di software legittimi relativi a giochi, strumenti di produttività o persino programmi antivirus, inducendo gli utenti a scaricare malware
  • Hijacking per le truffe: Ottenendo il controllo dei canali YouTube attraverso il phishing o il malware, gli aggressori li riutilizzano per promuovere truffe, come quelle relative alle criptovalute, che spesso prevedono falsi omaggi che richiedono un deposito iniziale da parte degli utenti
  • Social engineering tramite contenuti video: Gli aggressori pubblicano video tutorial o offrono software craccati, portando gli utenti a scaricare malware mascherato da strumento utile. Questa tattica sfrutta le persone che cercano l’accesso gratuito a servizi o software altrimenti a pagamento, sfruttando gli algoritmi di ricerca e raccomandazione di YouTube per colpire le potenziali vittime.

Con l’aumento delle truffe, i criminali informatici stanno sfruttando un’altra recente opportunità di business: il Malware-as-a-Service (MaaS). Grazie a questo modello, i gruppi criminali organizzati sono in grado di reclutare criminali di minor entità che desiderano guadagnare rapidamente distribuendo malware per conto del gruppo. Questi criminali possono acquistare malware, abbonarsi a piani di invio di malware periodici o condividere i profitti in una partnership con commissioni.

Il malware più comunemente utilizzato nei MaaS è il furto di informazioni, che continua a trovare nuovi canali di distribuzione. Ad esempio, si è osservato che DarkGate è stato diffuso tramite Microsoft Teams, utilizzando il phishing. Lumma Stealer, un altro stealer di informazioni MaaS, continua a diffondersi tramite software craccato propagato su YouTube utilizzando falsi tutorial per ingannare le vittime.

“Nel primo trimestre del 2024 abbiamo registrato il più alto dato di rischio informatico di sempre, ovvero la più alta probabilità che un individuo divenga il bersaglio di un attacco informatico” ha dichiarato Jakub Kroustek, Malware Research Director di Gen Digital. “Purtroppo, gli esseri umani sono l’anello più debole della catena della sicurezza digitale e i criminali informatici lo sanno. Fanno leva sulle emozioni umane e sulla ricerca di informazioni per infiltrarsi nella vita e nei dispositivi delle persone a scopo di lucro”.