Angreifer haben eine Variante des Lumma Stealer verbreitet YouTube Kanäle, die Inhalte im Zusammenhang mit dem Knacken beliebter Anwendungen enthalten und Webfilter umgehen, indem sie Open-Source-Plattformen wie GitHub und MediaFire anstelle proprietärer bösartiger Server zur Verbreitung der Malware verwenden.
Forscher von FortiGuard sagten, die Kampagne sei einem Angriff ähnlich entdeckte im vergangenen März, dass mithilfe künstlicher Intelligenz (KI) Schritt-für-Schritt-Anleitungen zur Installation von Programmen wie Photoshop, Autodesk 3ds Max, AutoCAD und anderen ohne Lizenz verbreitet wurden.
„Diese YouTube-Videos enthalten typischerweise Inhalte im Zusammenhang mit geknackten Anwendungen, stellen Benutzern ähnliche Installationsanleitungen vor und enthalten bösartige URLs, die häufig mithilfe von Diensten wie TinyURL und Cuttly gekürzt werden“, schrieb Cara Lin, leitende Analystin bei Fortinet in einem Blog-Post veröffentlicht am 8. Januar von Fortinet.
In den Videos geteilte Links nutzen Linkverkürzungsdienste wie TinyURL und Cuttly und führen zum direkten Download eines neuen, privaten .NET-Loaders, der für das Abrufen der endgültigen Malware, Lumma Stealer, verantwortlich ist, schrieb sie.
Luma zielt auf vertrauliche Informationen ab, darunter Benutzeranmeldeinformationen, Systemdetails, Browserdaten und Erweiterungen. Die Malware wird seit 2022 in Anzeigen im Dark Web und auf einem Telegram-Kanal gezeigt, wobei mehr als ein Dutzend Command-and-Control-Server im Umlauf sind mehrere Updates, so Fortinet.
So funktioniert der Lumma-Stealer-Angriff
Der Angriff beginnt damit, dass ein Hacker in ein YouTube-Konto eindringt und Videos hochlädt, die angeblich Tipps zu geknackter Software weitergeben, zusammen mit Beschreibungen der Videos, in die schädliche URLs eingebettet sind. Die Beschreibungen laden die Benutzer auch dazu ein, eine ZIP-Datei herunterzuladen, die schädliche Inhalte enthält.
Die von Fortinet beobachteten Videos wurden Anfang des Jahres hochgeladen; Allerdings werden die Dateien auf der Filesharing-Seite regelmäßig aktualisiert und die Zahl der Downloads nimmt weiter zu, was darauf hindeutet, dass die Kampagne die Opfer erreicht. „Dies deutet darauf hin, dass die ZIP-Datei immer neu ist und dass diese Methode effektiv Malware verbreitet“, schrieb Lin.
Die ZIP-Datei enthält eine .LNK-Datei, die PowerShell aufruft, um eine .NET-Ausführungsdatei über das GitHub-Repository „New“ von John1323456 herunterzuladen. Die anderen beiden Repositories „LNK“ und „LNK-Ex“ enthalten ebenfalls .NET-Loader und verbreiten Lumma als endgültige Nutzlast.
„Die manipulierte Installations-.ZIP-Datei dient als wirksamer Köder für die Bereitstellung der Nutzlast, indem sie die Absicht des Benutzers, die Anwendung zu installieren, ausnutzt und ihn dazu auffordert, ohne zu zögern auf die Installationsdatei zu klicken“, schrieb Lin.
Der .NET-Loader wird mithilfe von SmartAssembly, einem legitimen Verschleierungstool, verschleiert. Der Loader fährt fort, indem er den Umgebungswert des Systems erfasst und, sobald die Anzahl der Daten korrekt ist, das PowerShell-Skript lädt. Andernfalls beendet der Prozess das Programm.
YouTube-Malware-Umgehung und Vorsicht
Die Malware ist so konzipiert, dass sie einer Erkennung entgeht: Das ProcessStartInfo-Objekt startet den PowerShell-Prozess, der letztendlich eine DLL-Datei für die nächste Stufe des Angriffs aufruft, die ihre Umgebung mit verschiedenen Techniken scannt, um der Erkennung zu entgehen. Dieser Prozess umfasst die Suche nach Debuggern; Sicherheitsgeräte oder Sandkästen; virtuelle Maschinen; und andere Dienste oder Dateien, die einen bösartigen Prozess blockieren könnten.
„Nach Abschluss aller Umgebungsprüfungen entschlüsselt das Programm die Ressourcendaten und ruft den Befehl ‚SuspendThread; Funktion“, schrieb Lin. „Diese Funktion wird verwendet, um den Thread in einen ‚angehaltenen‘ Zustand zu überführen, ein entscheidender Schritt im Prozess der Nutzlastinjektion.“
Nach dem Start wird die Nutzlast, Luma, kommuniziert mit dem Command-and-Control-Server (C2) und baut eine Verbindung auf, um komprimierte gestohlene Daten an Angreifer zurückzusenden. Die in der Kampagne verwendete Variante ist als Version 4.0 gekennzeichnet, hat jedoch ihre Exfiltration aktualisiert, um HTTPS zu nutzen, um einer Erkennung besser zu entgehen, bemerkte Lin.
Eine Infektion kann jedoch verfolgt werden. Fortinet fügte dem Beitrag eine Liste von Kompromittierungsindikatoren (IoCs) hinzu und riet den Benutzern, bei „unklaren Anwendungsquellen“ Vorsicht walten zu lassen. Wenn Menschen Anwendungen von YouTube oder einer anderen Plattform herunterladen möchten, sollten sie sicherstellen, dass sie von seriösen und sicheren Quellen stammen, so Fortinet.
Organisationen sollten auch grundlegende Informationen bereitstellen Cybersicherheitstraining an ihre Mitarbeiter, um das Situationsbewusstsein für die aktuelle Bedrohungslandschaft zu fördern und grundlegende Cybersicherheitskonzepte und -technologien zu erlernen, heißt es in dem Beitrag. Dies trägt dazu bei, Szenarien zu vermeiden, in denen Mitarbeiter schädliche Dateien in Unternehmensumgebungen herunterladen.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/cyberattacks-data-breaches/weaponized-youtube-channels-spread-lumma-stealer
- :hast
- :Ist
- $UP
- 2022
- 8
- a
- Über Uns
- Begleitet
- Nach
- Konto
- Erwerb
- Siehe Werbung
- beraten
- Nach der
- AI
- Ziel
- Alle
- ebenfalls
- immer
- an
- Analytiker
- und
- jedem
- Geräte
- Anwendung
- Anwendungen
- künstlich
- künstliche Intelligenz
- Künstliche Intelligenz (AI)
- AS
- At
- Attacke
- autodesk
- vermeiden
- Bewusstsein
- Zurück
- Köder
- basic
- BE
- war
- Besser
- sich hüten
- Blockieren
- Blog
- Browser
- erbaut
- aber
- by
- Aufrufe
- Kampagnen (Campaign)
- CAN
- Vorsicht
- Kanal
- Kanäle
- Überprüfung
- Schecks
- klicken Sie auf
- wie die
- Abschluss
- Kompromiss
- Konzepte
- Verbindung
- Inhalt
- weiter
- Unternehmen
- und beseitigen Muskelschwäche
- rissig
- Spaltung
- Gefertigt
- Referenzen
- wichtig
- Strom
- Internet-Sicherheit
- Dunkel
- Dunkle Web
- technische Daten
- Übergeben
- Details
- Entdeckung
- Direkt
- entdeckt
- verteilen
- herunterladen
- Downloads
- Dutzend
- Früher
- Effektiv
- effektiv
- einbetten
- beschäftigt
- Mitarbeiter
- gewährleisten
- Arbeitsumfeld
- Umgebungen
- Äther (ETH)
- Flucht
- Ausführung
- Training
- Exfiltration
- Ausgänge
- Erweiterungen
- Merkmal
- funktions
- Reichen Sie das
- Mappen
- Filter
- Finale
- Aussichten für
- Fortinet
- für
- Funktion
- GitHub
- Wachsen Sie über sich hinaus
- Anleitungen
- Hacker
- Haben
- Hilfe
- Ultraschall
- Hilfe
- aber
- HTTPS
- if
- in
- das
- inklusive
- Dazu gehören
- Einschließlich
- einarbeiten
- zeigt
- Anzeigen
- Infektion
- Information
- installieren
- Installation
- beantragen müssen
- Intelligenz
- Absicht
- in
- einladen
- ruft auf
- IT
- SEINE
- Januar
- jpg
- Landschaft
- Nachname
- ins Leben gerufen
- startet
- führen
- LERNEN
- legitim
- Hebelwirkung
- Lizenz
- Gefällt mir
- lin
- Liste
- Ladeprogramm
- Belastungen
- Maschinen
- böswilligen
- Malware
- März
- markiert
- max
- Methode
- könnte
- mehr
- Netto-
- Neu
- weiter
- bekannt
- Anzahl
- Objekt
- beobachtet
- of
- vorgenommen,
- on
- einmal
- XNUMXh geöffnet
- Open-Source-
- or
- Ursprünge
- Andere
- Anders
- Andernfalls
- Besitz
- Personen
- Photoshop
- Plattform
- Plattformen
- Plato
- Datenintelligenz von Plato
- PlatoData
- Beliebt
- Post
- Powershell
- privat
- Erlös
- Prozessdefinierung
- Programm
- Programme
- fördern
- Eigentums-
- die
- veröffentlicht
- Erreichen
- erhalten
- in Bezug auf
- regulär
- bezogene
- Quelle
- seriöse
- Ressourcen
- für ihren Verlust verantwortlich.
- s
- Said
- Sandkästen
- scannt
- Szenarien
- Skript
- Verbindung
- Sicherheitdienst
- senden
- Senior
- empfindlich
- Server
- Server
- dient
- Lösungen
- Sets
- Teilen
- von Locals geführtes
- sie
- verkürzt
- sollte
- ähnlich
- da
- am Standort
- Software
- Quelle
- Quellen
- Verbreitung
- Verbreitung
- Spreads
- Stufe
- beginnt
- Bundesstaat
- Schritt
- gestohlen
- suspendiert
- System
- Ziele
- Techniken
- Technologie
- Telegram
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- Diese
- vom Nutzer definierten
- fehlen uns die Worte.
- dieses Jahr
- Bedrohung
- Tipps
- zu
- Werkzeug
- Übergang
- Tutorials
- XNUMX
- typisch
- Letztlich
- unklar
- aktualisiert
- Updates
- hochgeladen
- Uploading
- -
- benutzt
- Mitglied
- Nutzer
- Verwendung von
- Wert
- Variante
- verschiedene
- Version
- Opfer
- Videos
- Assistent
- Netz
- GUT
- waren
- welche
- Wild
- werden wir
- mit
- ohne
- schrieb
- Jahr
- Youtube
- Zephyrnet
- PLZ