Angreifer haben eine Variante des Lumma Stealer verbreitet YouTube Kanäle, die Inhalte im Zusammenhang mit dem Knacken beliebter Anwendungen enthalten und Webfilter umgehen, indem sie Open-Source-Plattformen wie GitHub und MediaFire anstelle proprietärer bösartiger Server zur Verbreitung der Malware verwenden.
Forscher von FortiGuard sagten, die Kampagne sei einem Angriff ähnlich entdeckte im vergangenen März, dass mithilfe künstlicher Intelligenz (KI) Schritt-für-Schritt-Anleitungen zur Installation von Programmen wie Photoshop, Autodesk 3ds Max, AutoCAD und anderen ohne Lizenz verbreitet wurden.
“These YouTube videos typically feature content related to cracked applications, presenting users with similar installation guides and incorporating malicious URLs often shortened using services like TinyURL and Cuttly,” Cara Lin, Fortinet senior analyst, wrote in einem Blog-Post veröffentlicht am 8. Januar von Fortinet.
In den Videos geteilte Links nutzen Linkverkürzungsdienste wie TinyURL und Cuttly und führen zum direkten Download eines neuen, privaten .NET-Loaders, der für das Abrufen der endgültigen Malware, Lumma Stealer, verantwortlich ist, schrieb sie.
Luma zielt auf vertrauliche Informationen ab, darunter Benutzeranmeldeinformationen, Systemdetails, Browserdaten und Erweiterungen. Die Malware wird seit 2022 in Anzeigen im Dark Web und auf einem Telegram-Kanal gezeigt, wobei mehr als ein Dutzend Command-and-Control-Server im Umlauf sind mehrere Updates, so Fortinet.
So funktioniert der Lumma-Stealer-Angriff
Der Angriff beginnt damit, dass ein Hacker in ein YouTube-Konto eindringt und Videos hochlädt, die angeblich Tipps zu geknackter Software weitergeben, zusammen mit Beschreibungen der Videos, in die schädliche URLs eingebettet sind. Die Beschreibungen laden die Benutzer auch dazu ein, eine ZIP-Datei herunterzuladen, die schädliche Inhalte enthält.
The videos observed by Fortinet were uploaded earlier this year; however, the files on the file-sharing site receive regular updates, and the number of downloads continues to grow, suggesting that the campaign is reaching victims. “This indicates that the ZIP file is always new and that this method effectively spreads malware,” Lin wrote.
The .ZIP file includes an .LNK file that calls PowerShell to download a .NET execution file via the GitHub repository “New” owned by John1323456. The other two repositories, “LNK” and “LNK-Ex,” also include .NET loaders and spread Lumma as the final payload.
“The crafted installation .ZIP file serves as an effective bait to deliver the payload, exploiting the user’s intention to install the application and prompting them to click the installation file without hesitation,” Lin wrote.
The .NET loader is obfuscated using SmartAssembly, a legitimate obfuscation tool. The loader proceeds by acquiring the system’s environment value and, once the number of the data is correct, it loads the PowerShell script. Otherwise, the process exits the program.
YouTube-Malware-Umgehung und Vorsicht
Die Malware ist so konzipiert, dass sie einer Erkennung entgeht: Das ProcessStartInfo-Objekt startet den PowerShell-Prozess, der letztendlich eine DLL-Datei für die nächste Stufe des Angriffs aufruft, die ihre Umgebung mit verschiedenen Techniken scannt, um der Erkennung zu entgehen. Dieser Prozess umfasst die Suche nach Debuggern; Sicherheitsgeräte oder Sandkästen; virtuelle Maschinen; und andere Dienste oder Dateien, die einen bösartigen Prozess blockieren könnten.
“After completing all environment checks, the program decrypts the resource data and invokes the ‘SuspendThread; function,” Lin wrote. “This function is employed to transition the thread into a ‘suspended’ state, a crucial step in the process of payload injection.”
Nach dem Start wird die Nutzlast, Luma, kommuniziert mit dem Command-and-Control-Server (C2) und baut eine Verbindung auf, um komprimierte gestohlene Daten an Angreifer zurückzusenden. Die in der Kampagne verwendete Variante ist als Version 4.0 gekennzeichnet, hat jedoch ihre Exfiltration aktualisiert, um HTTPS zu nutzen, um einer Erkennung besser zu entgehen, bemerkte Lin.
However, infection can be tracked. Fortinet included a list of indicators of compromise (IoCs) in the post, and advised the users exercise caution regarding “unclear application sources.” If people aim to download applications from YouTube or any other platform, they should ensure they come from reputable and secure origins, Fortinet noted.
Organisationen sollten auch grundlegende Informationen bereitstellen Cybersicherheitstraining an ihre Mitarbeiter, um das Situationsbewusstsein für die aktuelle Bedrohungslandschaft zu fördern und grundlegende Cybersicherheitskonzepte und -technologien zu erlernen, heißt es in dem Beitrag. Dies trägt dazu bei, Szenarien zu vermeiden, in denen Mitarbeiter schädliche Dateien in Unternehmensumgebungen herunterladen.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/cyberattacks-data-breaches/weaponized-youtube-channels-spread-lumma-stealer
- :hast
- :Ist
- $UP
- 2022
- 8
- a
- Über Uns
- Begleitet
- Nach
- Konto
- Erwerb
- Siehe Werbung
- beraten
- Nach der
- AI
- Ziel
- Alle
- ebenfalls
- immer
- an
- Analytiker
- und
- jedem
- Geräte
- Anwendung
- Anwendungen
- künstlich
- künstliche Intelligenz
- Künstliche Intelligenz (AI)
- AS
- At
- Attacke
- autodesk
- vermeiden
- Bewusstsein
- Zurück
- Köder
- basic
- BE
- war
- Besser
- sich hüten
- Blockieren
- Blog
- Browser
- erbaut
- aber
- by
- Aufrufe
- Kampagnen (Campaign)
- CAN
- Vorsicht
- Kanal
- Kanäle
- Überprüfung
- Schecks
- klicken Sie auf
- wie die
- Abschluss
- Kompromiss
- Konzepte
- Verbindung
- Inhalt
- weiter
- Unternehmen
- und beseitigen Muskelschwäche
- rissig
- Spaltung
- Gefertigt
- Referenzen
- wichtig
- Strom
- Internet-Sicherheit
- Dunkel
- Dunkle Web
- technische Daten
- Übergeben
- Details
- Entdeckung
- Direkt
- entdeckt
- verteilen
- herunterladen
- Downloads
- Dutzend
- Früher
- Effektiv
- effektiv
- einbetten
- beschäftigt
- Mitarbeiter
- gewährleisten
- Arbeitsumfeld
- Umgebungen
- Äther (ETH)
- Flucht
- Ausführung
- Training
- Exfiltration
- Ausgänge
- Erweiterungen
- Merkmal
- funktions
- Reichen Sie das
- Mappen
- Filter
- Finale
- Aussichten für
- Fortinet
- für
- Funktion
- GitHub
- Wachsen Sie über sich hinaus
- Anleitungen
- Hacker
- Haben
- Hilfe
- Ultraschall
- Hilfe
- aber
- HTTPS
- if
- in
- das
- inklusive
- Dazu gehören
- Einschließlich
- einarbeiten
- zeigt
- Anzeigen
- Infektion
- Information
- installieren
- Installation
- beantragen müssen
- Intelligenz
- Absicht
- in
- einladen
- ruft auf
- IT
- SEINE
- Januar
- jpg
- Landschaft
- Nachname
- ins Leben gerufen
- startet
- führen
- LERNEN
- legitim
- Hebelwirkung
- Lizenz
- Gefällt mir
- lin
- Liste
- Ladeprogramm
- Belastungen
- Maschinen
- böswilligen
- Malware
- März
- markiert
- max
- Methode
- könnte
- mehr
- Netto-
- Neu
- weiter
- bekannt
- Anzahl
- Objekt
- beobachtet
- of
- vorgenommen,
- on
- einmal
- XNUMXh geöffnet
- Open-Source-
- or
- Ursprünge
- Andere
- Anders
- Andernfalls
- Besitz
- Personen
- Photoshop
- Plattform
- Plattformen
- Plato
- Datenintelligenz von Plato
- PlatoData
- Beliebt
- Post
- Powershell
- privat
- Erlös
- Prozessdefinierung
- Programm
- Programme
- fördern
- Eigentums-
- die
- veröffentlicht
- Erreichen
- erhalten
- in Bezug auf
- regulär
- bezogene
- Quelle
- seriöse
- Ressourcen
- für ihren Verlust verantwortlich.
- s
- Said
- Sandkästen
- scannt
- Szenarien
- Skript
- Verbindung
- Sicherheitdienst
- senden
- Senior
- empfindlich
- Server
- Server
- dient
- Lösungen
- Sets
- Teilen
- von Locals geführtes
- sie
- verkürzt
- sollte
- ähnlich
- da
- am Standort
- Software
- Quelle
- Quellen
- Verbreitung
- Verbreitung
- Spreads
- Stufe
- beginnt
- Bundesstaat
- Schritt
- gestohlen
- suspendiert
- System
- Ziele
- Techniken
- Technologie
- Telegram
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- Diese
- vom Nutzer definierten
- fehlen uns die Worte.
- dieses Jahr
- Bedrohung
- Tipps
- zu
- Werkzeug
- Übergang
- Tutorials
- XNUMX
- typisch
- Letztlich
- unklar
- aktualisiert
- Updates
- hochgeladen
- Uploading
- -
- benutzt
- Mitglied
- Nutzer
- Verwendung von
- Wert
- Variante
- verschiedene
- Version
- Opfer
- Videos
- Assistent
- Netz
- GUT
- waren
- welche
- Wild
- werden wir
- mit
- ohne
- schrieb
- Jahr
- Youtube
- Zephyrnet
- PLZ