Angribere har spredt en variant af Lumma Stealer via YouTube kanaler, der har indhold relateret til cracking af populære applikationer, og undgår webfiltre ved at bruge open source-platforme som GitHub og MediaFire i stedet for proprietære ondsindede servere til at distribuere malwaren.
Forskere ved FortiGuard sagde, at kampagnen er ligner et angreb opdagede i marts sidste år, der brugte kunstig intelligens (AI) til at sprede trin-for-trin tutorials om, hvordan man installerer programmer som Photoshop, Autodesk 3ds Max, AutoCAD og andre uden en licens.
"Disse YouTube-videoer har typisk indhold relateret til crackede applikationer, der præsenterer brugere for lignende installationsvejledninger og inkorporerer ondsindede URL'er, der ofte forkortes ved hjælp af tjenester som TinyURL og Cuttly," skrev Cara Lin, senioranalytiker i Fortinet. i et blogindlæg udgivet 8. januar af Fortinet.
Links, der deles i videoerne, bruger linkforkortende tjenester som TinyURL og Cuttly og fører til direkte download af en ny, privat .NET-indlæser, der er ansvarlig for at hente den endelige malware, Lumma Stealer, skrev hun.
luma målretter mod følsomme oplysninger, herunder brugeroplysninger, systemdetaljer, browserdata og udvidelser. Malwaren har været vist på annoncer på Dark Web og en Telegram-kanal siden 2022, med mere end et dusin kommando-og-kontrol-servere i naturen og flere opdateringer, ifølge Fortinet.
Sådan fungerer Lumma Stealer-angrebet
Angrebet starter med, at en hacker bryder en YouTube-konto og uploader videoer, der foregiver at dele tips om cracket software, ledsaget af beskrivelser af de videoer, der indlejrer ondsindede URL'er. Beskrivelserne inviterer også brugerne til at downloade en .ZIP-fil, der indeholder skadeligt indhold.
Videoerne observeret af Fortinet blev uploadet tidligere i år; filerne på fildelingssiden modtager dog regelmæssige opdateringer, og antallet af downloads fortsætter med at vokse, hvilket tyder på, at kampagnen når ud til ofrene. "Dette indikerer, at ZIP-filen altid er ny, og at denne metode effektivt spreder malware," skrev Lin.
.ZIP-filen inkluderer en .LNK-fil, der kalder PowerShell for at downloade en .NET-udførelsesfil via GitHub-lageret "New" ejet af John1323456. De to andre repositories, "LNK" og "LNK-Ex", inkluderer også .NET-indlæsere og spredte Lumma som den endelige nyttelast.
"Den udformede installations-.ZIP-fil tjener som en effektiv lokkemad til at levere nyttelasten, udnytter brugerens intention om at installere applikationen og beder dem om at klikke på installationsfilen uden tøven," skrev Lin.
.NET-indlæseren er sløret ved hjælp af SmartAssembly, et legitimt sløringsværktøj. Indlæseren fortsætter ved at erhverve systemets miljøværdi, og når antallet af data er korrekt, indlæser den PowerShell-scriptet. Ellers afslutter processen programmet.
YouTube-malware-unddragelse og forsigtighed
Malwaren er bygget til at undgå opdagelse: ProcessStartInfo-objektet starter PowerShell-processen, som i sidste ende kalder en DLL-fil til næste fase af angrebet, som scanner sit miljø ved hjælp af forskellige teknikker for at undgå registrering. Denne proces omfatter kontrol for fejlfindere; sikkerhedsapparater eller sandkasser; virtuelle maskiner; og andre tjenester eller filer, der kan blokere en ondsindet proces.
"Efter at have gennemført alle miljøtjek, dekrypterer programmet ressourcedataene og kalder 'SuspendThread; funktion,” skrev Lin. "Denne funktion bruges til at overføre tråden til en 'suspenderet' tilstand, et afgørende trin i processen med indsprøjtning af nyttelast."
Når den er lanceret, vil nyttelasten, luma, kommunikerer med kommando-og-kontrol-serveren (C2) og opretter en forbindelse til at sende komprimerede stjålne data tilbage til angribere. Varianten, der blev brugt i kampagnen, er markeret som version 4.0, men har opdateret sin eksfiltrering for at udnytte HTTPS til bedre at undgå detektion, bemærkede Lin.
Imidlertid kan infektion spores. Fortinet inkluderede en liste over indikatorer for kompromis (IoC'er) i indlægget og rådede brugerne til at udvise forsigtighed med hensyn til "uklare applikationskilder." Hvis folk sigter efter at downloade applikationer fra YouTube eller enhver anden platform, bør de sikre, at de kommer fra velrenommerede og sikre oprindelser, bemærkede Fortinet.
Organisationer bør også levere grundlæggende træning i cybersikkerhed til deres medarbejdere for at fremme situationsbevidsthed om det aktuelle trusselslandskab, samt lære grundlæggende cybersikkerhedskoncepter og teknologi, ifølge indlægget. Dette vil hjælpe med at undgå scenarier, hvor medarbejdere downloader ondsindede filer til virksomhedsmiljøer.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/cyberattacks-data-breaches/weaponized-youtube-channels-spread-lumma-stealer
- :har
- :er
- $OP
- 2022
- 8
- a
- Om
- ledsaget
- Ifølge
- Konto
- erhverve
- annoncer
- rådgivet
- Efter
- AI
- sigte
- Alle
- også
- altid
- an
- analytiker
- ,
- enhver
- apparater
- Anvendelse
- applikationer
- kunstig
- kunstig intelligens
- Kunstig intelligens (AI)
- AS
- At
- angribe
- Autodesk
- undgå
- bevidsthed
- tilbage
- lokkemad
- grundlæggende
- BE
- været
- Bedre
- Pas
- Bloker
- Blog
- browser
- bygget
- men
- by
- Opkald
- Kampagne
- CAN
- forsigtighed
- Kanal
- kanaler
- kontrol
- Kontrol
- klik
- Kom
- færdiggøre
- kompromis
- begreber
- tilslutning
- indhold
- fortsætter
- Corporate
- korrigere
- revnet
- revner
- udformet
- Legitimationsoplysninger
- afgørende
- Nuværende
- Cybersecurity
- mørk
- Mørk Web
- data
- levere
- detaljer
- Detektion
- direkte
- opdaget
- distribuere
- downloade
- downloads
- dusin
- tidligere
- Effektiv
- effektivt
- Integrer
- selvstændige
- medarbejdere
- sikre
- Miljø
- miljøer
- Ether (ETH)
- Unddrage
- udførelse
- Dyrke motion
- eksfiltration
- udgange
- udvidelser
- Feature
- featured
- File (Felt)
- Filer
- Filtre
- endelige
- Til
- Fortinet
- fra
- funktion
- GitHub
- Grow
- Guides
- hacker
- Have
- hjælpe
- Hvordan
- How To
- Men
- HTTPS
- if
- in
- omfatter
- medtaget
- omfatter
- Herunder
- inkorporering
- angiver
- Indikatorer
- infektion
- oplysninger
- installere
- installation
- i stedet
- Intelligens
- Intention
- ind
- invitere
- påberåber sig
- IT
- ITS
- Jan
- jpg
- landskab
- Efternavn
- lanceret
- lanceringer
- føre
- LÆR
- legitim
- Leverage
- Licens
- ligesom
- lin
- Liste
- loader
- belastninger
- Maskiner
- ondsindet
- malware
- Marts
- markeret
- max
- metode
- måske
- mere
- netto
- Ny
- næste
- bemærkede
- nummer
- objekt
- observeret
- of
- tit
- on
- engang
- åbent
- open source
- or
- oprindelser
- Andet
- Andre
- Ellers
- ejede
- Mennesker
- photoshop
- perron
- Platforme
- plato
- Platon Data Intelligence
- PlatoData
- Populær
- Indlæg
- PowerShell
- private
- udbytte
- behandle
- Program
- Programmer
- fremme
- proprietære
- give
- offentliggjort
- nå
- modtage
- om
- fast
- relaterede
- Repository
- hæderlige
- ressource
- ansvarlige
- s
- Said
- sandkasser
- scanninger
- scenarier
- script
- sikker
- sikkerhed
- send
- senior
- følsom
- server
- servere
- tjener
- Tjenester
- sæt
- Del
- delt
- hun
- forkortes
- bør
- lignende
- siden
- websted
- Software
- Kilde
- Kilder
- spredes
- Spredning
- Spreads
- Stage
- starter
- Tilstand
- Trin
- stjålet
- suspenderet
- systemet
- mål
- teknikker
- Teknologier
- Telegram
- end
- at
- deres
- Them
- Disse
- de
- denne
- i år
- trussel
- tips
- til
- værktøj
- overgang
- tutorials
- to
- typisk
- Ultimativt
- uklar
- opdateret
- opdateringer
- uploadet
- Uploading
- brug
- anvendte
- Bruger
- brugere
- ved brug af
- værdi
- Variant
- forskellige
- udgave
- via
- ofre
- Videoer
- Virtual
- web
- GODT
- var
- som
- Wild
- vilje
- med
- uden
- skrev
- år
- youtube
- zephyrnet
- Zip