פושעי סייבר מכוונים לרוב את פעילותם הפלילית כלפי משתמשים ביתיים מכיוון שלאלו אין את המשאבים או הידע להגן על עצמם מפני האקרים, בהשוואה לארגונים. למרות שהרווח הכספי אינו גדול כמו זה אשר יכול להגיע ממתקפות סייבר על תאגידים, סביר להניח שלקורבנות הבודדים יש מידע כמו כרטיסי אשראי, ארנקי מטבעות קריפטוגרפיים ומידע אישי מזהה אחר המאוחסן במחשבים שלהם, שיכול להיות משתלם עבור פושעי סייבר. Proofpoint Emerging Threats מדווח על נוזקות גניבת מידע Vidar, StealC ו- Lumma Stealer המועברות דרך YouTube במסווה של תוכנות פיראטיות וצ'יטים של משחקי וידאו. הסרטונים מתיימרים להראות למשתמש הקצה כיצד לעשות דברים כמו הורדת תוכנות או שדרוג משחקי וידאו בחינם, אך הקישור בתיאורי הווידאו מוביל להורדת נוזקות. נראה כי רבים מהחשבונות המארחים סרטונים זדוניים נפרצו או נרכשו בדרך כלשהי ממשתמשים לגיטימיים, אך חוקרי הסייבר ראו גם חשבונות שנוצרו ונשלטים על ידי שחקנים פעילים רק לכמה שעות – חשבונות שנוצרו אך ורק כדי להפיץ נוזקות.
שיטת ההפצה בולטת במיוחד בשל סוג משחקי הווידאו שנראה שפושעי הסייבר מקדמים. נראה שרבים מהם ממוקדים כלפי משתמשים צעירים יותר, כולל משחקים פופולריים בקרב ילדים – קבוצה שפחות סביר שתצליח לזהות תוכן זדוני והתנהגויות מקוונות מסוכנות.
אינדיקטורים של חשבון חשוד בהעברת נוזקות יציג בדרך כלל פערי זמן משמעותיים בין הסרטונים שפורסמו, תוכן ששונה מאוד מסרטונים שפורסמו בעבר, הבדלים בשפות ובתיאורים של הסרטונים המכילים קישורים זדוניים. יש לציין כי חשבון עלול להיות חשוד גם אם הוא כולל אינדיקציה לכך שבעל החשבון עמד בדרישות הערוץ כולל אימות זהותו. אחד החשבונות החשודים לדוגמא, כלל סרטון שהתיימר להכיל שיפור דמות למשחק וידאו פופולרי עם קישור MediaFire בתיאור. כתובת ה- URL של MediaFire הובילה לקובץ מוגן בסיסמה (Setup_Pswrd_1234.rar) המכיל קובץ הפעלה (Setup.exe) שאם הופעל, הוריד והתקין נוזקת Vidar Stealer. בחשבון זה אף נמצאו מספר תגובות התיימרו להעיד על הלגיטימיות של הצ'יט. סביר להניח שהחשבון וההערות הללו נוצרו על ידי מעלה הסרטון או על ידי משתפי פעולה, כדי להעניק אותנטיות לקישור הזדוני. בדוגמה אחרת מסרטון שהועלה לחשבון אחר, היה תיאור הסרטון מפורט יותר. התיאור הכיל כתובת URL זדונית של MediaFire שהובילה גם ל- Vidar Stealer, כמו גם כמה טיפים נוספים. זוהי דוגמה נפוצה הכוללת הוראות כיצד להשבית את Windows Defender או מוצרי אנטי וירוס אחרים. יוצר הסרטון מבטיח שהקבצים נקיים לחלוטין מה שאכן נוטע אמון בתוכן שלו. Proofpoint זיהתה מספר סרטונים המתיימרים להפיץ צ'יטים של משחקי וידאו של Empress – ישות המוכרת היטב בקהילת תוכנות פיראטיות. בדוגמה אחת, התיימר משתמש להפיץ תוכן מפוצץ של 'ליגת האגדות' בפלטפורמת שיתוף הווידאו. תיאור הסרטון הכיל כתובת URL של טלגרם שהובילה לפוסט המכיל הוראות כיצד להוריד את התוכן וכתובת MediaFire המובילה לקובץ RAR המכיל קובץ הפעלה. הקובץ קיבל את השם ’empress.exe' כדי שייראה כאילו הוא לגיטימי.
שיטת הפצה נוספת של נוזקות באמצעות תיאורי סרטוני YouTube השונה מכתובות האתרים של MediaFire, היא כתובות האתרים של Discord. אנשי Proofpoint צפו בפושעי סייבר היוצרים ומנהלים שרת Discord המכיל נוזקות שונות עבור כל משחק. הקישור של Discord בתיאור הסרטון מפנה את המשתמשים לערוץ Discord המארח את הקבצים הזמינים להורדה וכולל הוראות כיצד להוריד ולהתקין אותם. פוסט נוסף בשרת דיסקורד מורה למשתמשים להשבית את האנטי וירוס כדי להוריד את הצ'יט של המשחק.
על משתמשי קצה להיות מודעים לטכניקות המשמשות פושעי סייבר כדי לפתות משתמשים לעסוק בתוכן משחקי וידאו המתיימר לעזור להם לרמות או לעקוף פונקציונליות בתשלום.
