قام المهاجمون بنشر نسخة مختلفة من Lumma Stealer عبر يوتيوب القنوات التي تتميز بمحتوى يتعلق باختراق التطبيقات الشائعة، والتهرب من مرشحات الويب باستخدام منصات مفتوحة المصدر مثل GitHub وMediaFire بدلاً من الخوادم الضارة الخاصة لتوزيع البرامج الضارة.
وقال الباحثون في FortiGuard إن الحملة شبيه بالهجوم اكتشف في مارس الماضي أنه يستخدم الذكاء الاصطناعي (AI) لنشر دروس خطوة بخطوة حول كيفية تثبيت برامج مثل Photoshop وAutodesk 3ds Max وAutoCAD وغيرها دون ترخيص.
كتبت كارا لين، كبيرة محللي Fortinet: "تحتوي مقاطع الفيديو هذه على YouTube عادةً على محتوى يتعلق بالتطبيقات المخترقة، وتقدم للمستخدمين أدلة تثبيت مماثلة وتتضمن عناوين URL ضارة غالبًا ما يتم اختصارها باستخدام خدمات مثل TinyURL وCuttly". في بلوق وظيفة تم نشره في 8 يناير بواسطة Fortinet.
وكتبت أن الروابط التي تمت مشاركتها في مقاطع الفيديو تستخدم خدمات تقصير الروابط مثل TinyURL وCuttly، وتؤدي إلى التنزيل المباشر لمحمل .NET جديد خاص مسؤول عن جلب البرنامج الضار النهائي، Lumma Stealer.
لوما يستهدف المعلومات الحساسة، بما في ذلك بيانات اعتماد المستخدم وتفاصيل النظام وبيانات المتصفح والإضافات. ظهرت البرامج الضارة في الإعلانات على شبكة الويب المظلمة وقناة Telegram منذ عام 2022، مع أكثر من عشرة خوادم للأوامر والتحكم في البرية و تحديثات متعددةبحسب فورتينت.
كيف يعمل هجوم Lumma Stealer
يبدأ الهجوم عندما يقوم أحد المتسللين باختراق حساب YouTube وتحميل مقاطع فيديو تدعي مشاركة نصائح حول البرامج المخترقة، مصحوبة بأوصاف مقاطع الفيديو التي تتضمن عناوين URL ضارة. تدعو الأوصاف أيضًا المستخدمين إلى تنزيل ملف بتنسيق ZIP يتضمن محتوى ضارًا.
تم تحميل مقاطع الفيديو التي رصدتها Fortinet في وقت سابق من هذا العام؛ ومع ذلك، تتلقى الملفات الموجودة على موقع مشاركة الملفات تحديثات منتظمة، ويستمر عدد التنزيلات في النمو، مما يشير إلى أن الحملة تصل إلى الضحايا. وكتب لين: "يشير هذا إلى أن ملف ZIP جديد دائمًا وأن هذه الطريقة تنشر البرامج الضارة بشكل فعال".
يتضمن ملف .ZIP ملف .LNK يستدعي PowerShell لتنزيل ملف تنفيذ .NET عبر مستودع GitHub "الجديد" المملوك لـ John1323456. يتضمن المستودعان الآخران، "LNK" و"LNK-Ex"، أيضًا أدوات تحميل .NET ونشر Lumma كحمولة نهائية.
وكتب لين: "يعمل ملف التثبيت .ZIP كطعم فعال لتسليم الحمولة، واستغلال نية المستخدم في تثبيت التطبيق ومطالبته بالنقر فوق ملف التثبيت دون تردد".
يتم تشويش أداة تحميل .NET باستخدام SmartAssembly، وهي أداة تشويش مشروعة. يستمر برنامج التحميل بالحصول على قيمة بيئة النظام، وبمجرد أن يكون عدد البيانات صحيحًا، يقوم بتحميل البرنامج النصي PowerShell. وإلا فإن العملية تخرج من البرنامج.
يوتيوب التهرب من البرامج الضارة والحذر
تم تصميم البرامج الضارة لتجنب اكتشافها: يقوم كائن ProcessStartInfo بتشغيل عملية PowerShell التي تستدعي في النهاية ملف DLL للمرحلة التالية من الهجوم، والذي يقوم بفحص بيئته باستخدام تقنيات مختلفة لتجنب الكشف. تتضمن هذه العملية التحقق من وجود مصححات الأخطاء؛ الأجهزة الأمنية أو صناديق الرمل. الأجهزة الظاهرية؛ والخدمات أو الملفات الأخرى التي قد تمنع أي عملية ضارة.
"بعد الانتهاء من جميع عمليات التحقق من البيئة، يقوم البرنامج بفك تشفير بيانات المورد ويستدعي الأمر 'SuspendThread; وظيفة "، كتب لين. "يتم استخدام هذه الوظيفة لنقل الخيط إلى حالة "معلقة"، وهي خطوة حاسمة في عملية حقن الحمولة."
بمجرد إطلاق الحمولة، لوماويتواصل مع خادم القيادة والتحكم (C2) ويقوم بإعداد اتصال لإرسال البيانات المضغوطة المسروقة مرة أخرى إلى المهاجمين. وأشار لين إلى أن المتغير المستخدم في الحملة تم تمييزه على أنه الإصدار 4.0، ولكنه قام بتحديث عملية التصفية الخاصة به للاستفادة من HTTPS لتجنب الاكتشاف بشكل أفضل.
ومع ذلك، يمكن تتبع العدوى. قامت Fortinet بتضمين قائمة بمؤشرات التسوية (IoCs) في المنشور، ونصحت المستخدمين بتوخي الحذر فيما يتعلق بـ "مصادر التطبيقات غير الواضحة". وأشارت فورتينت إلى أنه إذا كان الأشخاص يهدفون إلى تنزيل التطبيقات من موقع يوتيوب أو أي منصة أخرى، فيجب عليهم التأكد من أنها تأتي من مصادر موثوقة وآمنة.
وينبغي للمنظمات أيضا توفير الأساسية تدريب الأمن السيبراني لموظفيهم لتعزيز الوعي الظرفي حول مشهد التهديد الحالي، وكذلك تعلم مفاهيم وتقنيات الأمن السيبراني الأساسية، وفقًا للمنشور. سيساعد هذا في تجنب السيناريوهات التي يقوم فيها الموظفون بتنزيل ملفات ضارة إلى بيئات الشركة.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cyberattacks-data-breaches/weaponized-youtube-channels-spread-lumma-stealer
- :لديها
- :يكون
- $ UP
- 2022
- 8
- a
- من نحن
- مصحوبة
- وفقا
- حسابي
- كسب
- نصح
- بعد
- AI
- هدف
- الكل
- أيضا
- دائما
- an
- المحلل
- و
- أي وقت
- الأجهزة
- تطبيق
- التطبيقات
- مصطنع
- الذكاء الاصطناعي
- الذكاء الاصطناعي (منظمة العفو الدولية)
- AS
- At
- مهاجمة
- أوتوديسك
- تجنب
- وعي
- الى الخلف
- طعم
- الأساسية
- BE
- كان
- أفضل
- احترس
- حظر
- المدونة
- المتصفح
- بنيت
- لكن
- by
- دعوات
- الحملات
- CAN
- الحذر
- قناة
- قنوات
- تدقيق
- الشيكات
- انقر
- تأتي
- الانتهاء
- حل وسط
- المفاهيم
- صلة
- محتوى
- تواصل
- منظمة
- تصحيح
- مشقوق
- تكسير
- وضعت
- أوراق اعتماد
- حاسم
- حالياًّ
- الأمن السيبراني
- غامق
- الويب المظلم
- البيانات
- نقل
- تفاصيل
- كشف
- مباشرة
- اكتشف
- نشر
- بإمكانك تحميله
- التنزيلات
- دزينة
- في وقت سابق
- الطُرق الفعّالة
- على نحو فعال
- تضمين
- يعمل
- الموظفين
- ضمان
- البيئة
- البيئات
- الأثير (ETH)
- الهروب
- ممارسة
- exfiltration
- مخارج
- اضافات المتصفح
- الميزات
- عقار مميز
- قم بتقديم
- ملفات
- مرشحات
- نهائي
- في حالة
- فورتينت
- تبدأ من
- وظيفة
- GitHub جيثب:
- النمو
- دليل
- القراصنة
- يملك
- مساعدة
- كيفية
- كيفية
- لكن
- HTTPS
- if
- in
- تتضمن
- شامل
- يشمل
- بما فيه
- دمج
- يشير
- من مؤشرات
- عدوى
- معلومات
- تثبيت
- التركيب
- بدلًا من ذلك
- رؤيتنا
- نية
- إلى
- دعا
- يتضرع
- IT
- انها
- يناير
- JPG
- المشهد
- اسم العائلة
- أطلقت
- تطلق
- قيادة
- تعلم
- شرعي
- الرافعة المالية
- حقوق الملكية الفكرية
- مثل
- لين
- قائمة
- محمل
- الأحمال
- الآلات
- خبيث
- البرمجيات الخبيثة
- مارس
- ملحوظ
- ماكس
- طريقة
- ربما
- الأكثر من ذلك
- صاف
- جديد
- التالي
- وأشار
- عدد
- موضوع
- ملاحظ
- of
- غالبا
- on
- مرة
- جاكيت
- المصدر المفتوح
- or
- أصول
- أخرى
- أخرى
- وإلا
- مملوكة
- مجتمع
- فوتوشوب
- المنصة
- منصات التداول
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- الرائج
- منشور
- بوويرشيل
- خاص
- العائدات
- عملية المعالجة
- البرنامج
- البرامج
- تعزيز
- الملكية
- تزود
- نشرت
- الوصول إلى
- تسلم
- بخصوص
- منتظم
- ذات صلة
- مستودع
- حسن السمعة
- مورد
- مسؤول
- s
- قال
- ملاعب من الرمل لل
- مسح
- سيناريوهات
- سيناريو
- تأمين
- أمن
- إرسال
- كبير
- حساس
- الخادم
- الخوادم
- يخدم
- خدماتنا
- باكجات
- مشاركة
- شاركت
- هي
- قصير
- ينبغي
- مماثل
- منذ
- الموقع
- تطبيقات الكمبيوتر
- مصدر
- مصادر
- انتشار
- الانتشار
- ينتشر
- المسرح
- يبدأ
- الولايه او المحافظه
- خطوة
- مسروق
- تعليق
- نظام
- الأهداف
- تقنيات
- تكنولوجيا
- تیلیجرام
- من
- أن
- •
- من مشاركة
- منهم
- تشبه
- هم
- هذا العام
- التهديد
- نصائح
- إلى
- أداة
- انتقال
- الدروس
- اثنان
- عادة
- في النهاية
- غير واضح
- تحديث
- آخر التحديثات
- تم التحميل
- تحميل
- تستخدم
- مستعمل
- مستخدم
- المستخدمين
- استخدام
- قيمنا
- متنوع
- مختلف
- الإصدار
- بواسطة
- ضحايا
- مقاطع فيديو
- افتراضي
- الويب
- حسن
- كان
- التي
- بري
- سوف
- مع
- بدون
- كتب
- عام
- موقع YouTube
- زفيرنت
- الرمز البريدي