YouTube 创作者因品牌合作者请求使用 Clickflix 技术而遭受攻击

一种被称为“Clickflix 技术”的复杂网络钓鱼活动已经出现，它通过看似合法的品牌合作请求瞄准 YouTube 内容创作者。

这种新的攻击媒介利用了创作者渴望获得赞助协议的心理，将恶意软件负载伪装成合作文件。

网络犯罪分子通过电子邮件或社交媒体发起联系，冒充知名品牌的营销代表，提供利润丰厚的交易，要求创建者审查托管在受感染域或云存储上的“活动材料”。

攻击者通常会接触订阅者数量在 10,000 到 500,000 之间的创作者，精心编写引用创作者内容风格和之前赞助情况的消息，以建立可信度。

点击恶意链接后，创建者会被引导至模仿流行文件共享服务的专业登陆页面，系统会提示他们下载看似 PDF 合同或活动简介的内容。

CloudSek 的研究人员于 2025 年 3 月初发现了这一活动，并指出该恶意软件采用了多阶段感染过程，旨在逃避传统的安全解决方案。

他们的分析显示，游戏、技术评论和生活方式领域有超过 2,300 名创作者成为攻击目标，其中约 18％ 的目标被成功攻击。

这次攻击利用社会工程学原理与技术欺骗相结合，通常包括时间敏感的提议，以迫使创作者匆忙做出决定。

受害者报告收到了引用他们制作的特定视频的定制消息，这表明威胁行为者在发起联系之前进行了大量的侦察工作。

感染机制利用 JavaScript 混淆

该恶意软件的主要感染媒介采用了复杂的JavaScript下载程序，当受害者打开看似标准 HTML 预览页面时，该下载程序就会执行。

初始有效载荷采用了多层混淆，最后阶段类似于以下简化的示例：

const decoderKey = navigator.userAgent.slice(0,8);eval(function(p,a,c,k,e,d){   /* heavily obfuscated PowerShell downloader */   return p;}('powershell -w hidden -e JGNsaWVudCA9...'))

这段混淆的代码最终会触发一个 PowerShell 命令，该命令会下载一个针对浏览器数据的窃取程序，特别是 YouTube Studio 凭证、Google身份验证令牌和加密货币钱包信息。

该恶意软件通过修改 Windows 注册表和使用“GoogleUpdateTask”等无害名称的计划任务来建立持久性，以避免在常规系统检查期间被发现。

此次攻击表明，针对内容创作者的攻击活动日益复杂，由于内容创作者的盈利潜力和可接触受众网络的能力，他们越来越成为有价值的目标。

来源：https://cybersecuritynews.com/youtube-creators-under-attack-via-brand-collaborators-requests/