HackerNews 编译，转载请注明出处：

一个恶意YouTube账号网络被曝光，该网络通过发布和推广诱导用户下载恶意软件的视频，滥用了这一视频托管平台的普及度和用户信任来传播恶意负载。

该网络自2021年开始活跃，迄今已发布了超过3000个恶意视频，且自今年年初以来此类视频数量增加了两倍。Check Point将其命名为"YouTube幽灵网络"。谷歌已介入移除了其中大部分视频。

该活动利用被黑客入侵的账号，将其内容替换为以盗版软件和Roblox游戏作弊工具为中心的"恶意"视频，从而感染那些搜索这些内容而不幸中招的用户，使其感染信息窃取程序。其中一些视频的观看量高达数十万次，范围在14.7万到29.3万之间。

"这次行动利用了包括观看量、点赞和评论在内的信任信号，使恶意内容看起来安全，" Check Point 安全研究组经理 Eli Smadja 说。"看似有用的教程，实际上可能是一个精巧的网络陷阱。这个网络的规模、模块化和复杂程度，为威胁行为体如何武器化互动工具来传播恶意软件提供了一个蓝图。"

...

HackerNews 编译，转载请注明出处：

某行业监管机构发现，知名 YouTube 博主 “野兽先生”（MrBeast，本名吉米・唐纳森）在未获得家长同意的情况下收集儿童信息，这一问题促使其频道的数据收集及广告投放流程全面整改。

美国商业改进局全国项目（BBB National Programs）旗下的 “儿童广告审查组”（CARU）于周四表示，唐纳森违反了该机构的隐私准则，且其行为可能触犯了美国联邦《儿童在线隐私保护规则》（COPPA）。根据《儿童在线隐私保护规则》（COPPA）规定，网站在收集、使用或共享 13 岁以下儿童的个人信息前，必须获得家长可验证的同意。

该监管机构指出，唐纳森的 YouTube 频道拥有 4.36 亿订阅者，此次违规源于他向观众发起两项抽奖活动时，未提供任何让参与者填写家长或监护人信息的渠道，导致无法获取相关同意授权。

据 “儿童广告审查组”（CARU）透露，唐纳森向包括 13 岁以下儿童在内的受众承诺，参与者只要频繁提交 “已购买其关联品牌‘Feastables’巧克力棒” 的二维码凭证，获奖者便可获得 1 万美元奖金。

而参与该抽奖活动的用户需提供全名、电话号码、地址及电子邮箱等信息。

此外，“Feastables” 官网还存在不当行为：网站弹出全屏弹窗，反复要求访客提供电子邮箱地址，并显示 “野兽先生邀你加入‘团队’”（MrBeast Wants You to Join the Crew）的诱导语。

监管机构工作人员通过测试发现，在输入电子邮箱地址后，网站会弹出第二个弹窗，要求用户填写电话号码；且用户提供的邮箱与电话联系方式随后会被发送至第三方。

“儿童广告审查组”（CARU）表示，唐纳森已与该机构合作，更新了其频道的数据收集流程，并已解决相关问题。

“Feastables” 品牌发布声明称，“认可 CARU 推动负责任儿童广告的使命”，但同时指出，“并不认同该决定中的所有结论及其依据的前提”。

声明还提到：“尽管如此，‘野兽先生’与‘Feastables’在未来策划面向儿童群体的广告内容时，定会认真考虑 CARU 提出的关切。”

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

...

YouTube 上推广游戏外挂的视频被用于传播一种名为 Arcane 的未被记录在案的盗取器恶意软件，该软件可能针对俄语用户。

卡巴斯基在一份分析报告中表示：“这种恶意软件的有趣之处在于它收集的信息量之大。”它会从 VPN 和游戏客户端，以及 ngrok、Playit、Cyberduck、FileZilla 和 DynDNS 等各种网络工具中抓取账户信息。

攻击链涉及在 YouTube 视频中分享指向受密码保护的存档文件的链接，打开后，该存档文件会解压出一个名为 start.bat 的批处理文件，该文件负责通过 PowerShell 检索另一个存档文件。

随后，该批处理文件利用 PowerShell 启动新下载存档文件中嵌入的两个可执行文件，同时禁用 Windows SmartScreen 保护功能，并将每个驱动器根文件夹设置为 SmartScreen 过滤器的例外。

这两个二进制文件中，一个是加密货币矿工，另一个是名为 VGS 的盗取器，它是 Phemedrone 盗取器恶意软件的一个变种。截至 2024 年 11 月，攻击者已被发现用 Arcane 替代了 VGS。

“尽管其中很多内容是从其他盗取器中借鉴而来的，但我们无法将其归因于任何已知的家族。”这家俄罗斯网络安全公司指出。

除了从各种基于 Chromium 和 Gecko 的浏览器中窃取登录凭证、密码、信用卡数据和 Cookie 外，Arcane 还能够收集全面的系统数据，以及以下多个应用程序的配置文件、设置和账户信息：

VPN 客户端：OpenVPN、Mullvad、NordVPN、IPVanish、Surfshark、Proton、hidemy.name、PIA、CyberGhost 和 ExpressVPN

网络客户端和工具：ngrok、Playit、Cyberduck、FileZilla 和 DynDNS

通讯软件：ICQ、Tox、Skype、Pidgin、Signal、Element、Discord、Telegram、Jabber 和 Viber

电子邮件客户端：Microsoft Outlook

游戏客户端和服务：Riot Client、Epic、Steam、Ubisoft Connect（原 Uplay）、Roblox、Battle.net 以及各种 Minecraft 客户端

加密货币钱包：Zcash、Armory、Bytecoin、Jaxx、Exodus、Ethereum、Electrum、Atomic、Guarda 和 Coinomi

此外，Arcane 还被设计为能够截取受感染设备的屏幕截图，枚举正在运行的进程，并列出已保存的 Wi-Fi 网络及其密码。

“大多数浏览器会生成唯一密钥，用于加密其存储的敏感数据，如登录信息、密码、Cookie 等。”卡巴斯基表示，“Arcane 利用数据保护 API（DPAPI）获取这些密钥，这是盗取器的典型行为。”

“但 Arcane 还包含一个名为 Xaitax 的工具的可执行文件，它利用该工具破解浏览器密钥。为此，该工具会被秘密地写入磁盘并启动，盗取器从其控制台输出中获取所需的全部密钥。”

此外，该盗取器恶意软件还采用了一种单独的方法，通过调试端口启动浏览器副本，从而从基于 Chromium 的浏览器中提取 Cookie。

该行动背后的不明威胁行为者已经扩大了他们的业务范围，包括一个名为 ArcanaLoader 的加载器，该加载器声称用于下载游戏外挂，但实际上却传播盗取器恶意软件。俄罗斯、白俄罗斯和哈萨克斯坦已成为此次行动的主要目标。

“这场特定的活动之所以有趣，是因为它展示了网络犯罪分子的灵活性，他们始终在更新他们的工具和分发方法。”卡巴斯基表示，“此外，Arcane 盗取器本身也很有趣，因为它收集了各种不同的数据，并且使用了各种技巧来提取攻击者想要的信息。”

...

HackerNews 编译，转载请注明出处：

网络犯罪分子通过发送虚假的版权索赔来勒索 YouTubers，迫使他们在视频中推广恶意软件和加密货币矿工。

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

新一波的 “自骗” 攻击浪潮正在利用 AI 生成的深度伪造视频和恶意脚本，目标锁定加密货币爱好者和金融交易者，标志着社会工程战术的危险演变。

...

最近，卡巴斯基实验室的网络安全分析师发现，黑客一直在频繁利用 YouTube平台来传播复杂的恶意软件。通过劫持热门频道，黑客伪装成原始创作者发布恶意链接，对用户实施诈骗。

...

最近，Fortinet专家发现了一种新的网络威胁：攻击者正利用与盗版软件相关的YouTube视频分发名为Lumma的数据窃取程序。

...