Οι επιτιθέμενοι έχουν διαδώσει μια παραλλαγή του Lumma Stealer μέσω YouTube κανάλια που διαθέτουν περιεχόμενο που σχετίζεται με το σπάσιμο δημοφιλών εφαρμογών, αποφεύγοντας τα φίλτρα Ιστού χρησιμοποιώντας πλατφόρμες ανοιχτού κώδικα όπως το GitHub και το MediaFire αντί για ιδιόκτητους κακόβουλους διακομιστές για τη διανομή του κακόβουλου λογισμικού.
Ερευνητές στο FortiGuard είπαν ότι η εκστρατεία είναι παρόμοια με επίθεση ανακαλύφθηκε τον περασμένο Μάρτιο ότι χρησιμοποιούσε τεχνητή νοημοσύνη (AI) για να διαδώσει βήμα προς βήμα εκπαιδευτικά προγράμματα σχετικά με τον τρόπο εγκατάστασης προγραμμάτων όπως το Photoshop, το Autodesk 3ds Max, το AutoCAD και άλλα χωρίς άδεια.
“These YouTube videos typically feature content related to cracked applications, presenting users with similar installation guides and incorporating malicious URLs often shortened using services like TinyURL and Cuttly,” Cara Lin, Fortinet senior analyst, wrote σε ένα blog post δημοσιεύτηκε στις 8 Ιανουαρίου από την Fortinet.
Οι σύνδεσμοι που κοινοποιούνται στα βίντεο χρησιμοποιούν υπηρεσίες συντόμευσης συνδέσμων όπως το TinyURL και το Cuttly και οδηγούν στην άμεση λήψη ενός νέου, ιδιωτικού προγράμματος φόρτωσης .NET που είναι υπεύθυνος για την ανάκτηση του τελικού κακόβουλου λογισμικού, του Lumma Stealer, έγραψε.
Λούμα στοχεύει ευαίσθητες πληροφορίες, συμπεριλαμβανομένων των διαπιστευτηρίων χρήστη, των λεπτομερειών συστήματος, των δεδομένων προγράμματος περιήγησης και των επεκτάσεων. Το κακόβουλο λογισμικό εμφανίζεται σε διαφημίσεις στο Dark Web και σε ένα κανάλι Telegram από το 2022, με περισσότερους από δώδεκα διακομιστές εντολών και ελέγχου στη φύση και πολλαπλές ενημερώσεις, σύμφωνα με το Fortinet.
Πώς λειτουργεί η επίθεση Lumma Stealer
Η επίθεση ξεκινά με έναν χάκερ που παραβιάζει έναν λογαριασμό YouTube και ανεβάζει βίντεο που υποτίθεται ότι μοιράζονται συμβουλές για σπασμένο λογισμικό, συνοδευόμενα από περιγραφές των βίντεο που ενσωματώνουν κακόβουλες διευθύνσεις URL. Οι περιγραφές καλούν επίσης τους χρήστες να κατεβάσουν ένα αρχείο .ZIP που περιλαμβάνει κακόβουλο περιεχόμενο.
The videos observed by Fortinet were uploaded earlier this year; however, the files on the file-sharing site receive regular updates, and the number of downloads continues to grow, suggesting that the campaign is reaching victims. “This indicates that the ZIP file is always new and that this method effectively spreads malware,” Lin wrote.
The .ZIP file includes an .LNK file that calls PowerShell to download a .NET execution file via the GitHub repository “New” owned by John1323456. The other two repositories, “LNK” and “LNK-Ex,” also include .NET loaders and spread Lumma as the final payload.
“The crafted installation .ZIP file serves as an effective bait to deliver the payload, exploiting the user’s intention to install the application and prompting them to click the installation file without hesitation,” Lin wrote.
The .NET loader is obfuscated using SmartAssembly, a legitimate obfuscation tool. The loader proceeds by acquiring the system’s environment value and, once the number of the data is correct, it loads the PowerShell script. Otherwise, the process exits the program.
Κακόβουλο λογισμικό YouTube Evasion & Προσοχή
Το κακόβουλο λογισμικό έχει δημιουργηθεί για να αποφεύγεται ο εντοπισμός: Το αντικείμενο ProcessStartInfo εκκινεί τη διαδικασία PowerShell η οποία τελικά καλεί ένα αρχείο DLL για το επόμενο στάδιο της επίθεσης, το οποίο σαρώνει το περιβάλλον του χρησιμοποιώντας διάφορες τεχνικές για να αποφύγει τον εντοπισμό. Αυτή η διαδικασία περιλαμβάνει έλεγχο για εντοπιστές σφαλμάτων. συσκευές ασφαλείας ή κουτιά άμμου· εικονικές μηχανές? και άλλες υπηρεσίες ή αρχεία που ενδέχεται να εμποδίσουν μια κακόβουλη διαδικασία.
“After completing all environment checks, the program decrypts the resource data and invokes the ‘SuspendThread; function,” Lin wrote. “This function is employed to transition the thread into a ‘suspended’ state, a crucial step in the process of payload injection.”
Μόλις εκτοξευθεί, το ωφέλιμο φορτίο, Λούμα, επικοινωνεί με τον διακομιστή εντολών και ελέγχου (C2) και δημιουργεί μια σύνδεση για την αποστολή συμπιεσμένων κλεμμένων δεδομένων πίσω στους εισβολείς. Η παραλλαγή που χρησιμοποιείται στην καμπάνια έχει επισημανθεί ως έκδοση 4.0, αλλά έχει ενημερώσει την εξέλιξή της για να αξιοποιήσει το HTTPS για να αποφύγει καλύτερα τον εντοπισμό, σημείωσε ο Lin.
However, infection can be tracked. Fortinet included a list of indicators of compromise (IoCs) in the post, and advised the users exercise caution regarding “unclear application sources.” If people aim to download applications from YouTube or any other platform, they should ensure they come from reputable and secure origins, Fortinet noted.
Οι οργανισμοί θα πρέπει επίσης να παρέχουν βασικά εκπαίδευση στον κυβερνοχώρο στους υπαλλήλους τους για να προωθήσουν την επίγνωση της κατάστασης σχετικά με το τρέχον τοπίο απειλών, καθώς και να μάθουν βασικές έννοιες και τεχνολογία κυβερνοασφάλειας, σύμφωνα με την ανάρτηση. Αυτό θα βοηθήσει στην αποφυγή σεναρίων στα οποία οι εργαζόμενοι κατεβάζουν κακόβουλα αρχεία σε εταιρικά περιβάλλοντα.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/cyberattacks-data-breaches/weaponized-youtube-channels-spread-lumma-stealer
- :έχει
- :είναι
- $UP
- 2022
- 8
- a
- Σχετικα
- συνοδεύεται
- Σύμφωνα με
- Λογαριασμός
- απόκτηση
- διαφημίσεις
- συνιστάται
- Μετά το
- AI
- στοχεύουν
- Όλα
- Επίσης
- πάντοτε
- an
- αναλυτής
- και
- κάθε
- συσκευές
- Εφαρμογή
- εφαρμογές
- τεχνητός
- τεχνητή νοημοσύνη
- Τεχνητή νοημοσύνη (AI)
- AS
- At
- επίθεση
- Autodesk
- αποφύγετε
- επίγνωση
- πίσω
- δόλωμα
- βασικός
- BE
- ήταν
- Καλύτερα
- Προσέξτε
- Αποκλεισμός
- Μπλοκ
- πρόγραμμα περιήγησης
- χτισμένο
- αλλά
- by
- κλήσεις
- Εκστρατεία
- CAN
- προσοχή
- Κανάλι
- κανάλια
- έλεγχος
- έλεγχοι
- κλικ
- Ελάτε
- ολοκληρώνοντας
- συμβιβασμός
- έννοιες
- σύνδεση
- περιεχόμενο
- συνεχίζεται
- Εταιρικές εκδηλώσεις
- διορθώσει
- Ραγισμένο
- ράγισμα
- δημιουργημένο
- Διαπιστεύσεις
- κρίσιμος
- Ρεύμα
- Κυβερνασφάλεια
- σκοτάδι
- Dark Web
- ημερομηνία
- παραδώσει
- καθέκαστα
- Ανίχνευση
- κατευθύνει
- ανακάλυψαν
- διανέμω
- κατεβάσετε
- λήψεις
- δωδεκάδα
- Νωρίτερα
- Αποτελεσματικός
- αποτελεσματικά
- embed
- μισθωτών
- υπαλλήλους
- εξασφαλίζω
- Περιβάλλον
- περιβάλλοντα
- Αιθέρας (ΕΤΗ)
- διαφυγής
- εκτέλεση
- Άσκηση
- διήθηση
- εξόδους
- επεκτάσεις
- Χαρακτηριστικό
- Προτεινόμενο
- Αρχεία
- Αρχεία
- Φίλτρα
- τελικός
- Για
- Fortinet
- από
- λειτουργία
- GitHub
- Grow
- Οδηγοί
- χάκερ
- Έχω
- βοήθεια
- Πως
- Πώς να
- Ωστόσο
- HTTPS
- if
- in
- περιλαμβάνουν
- περιλαμβάνονται
- περιλαμβάνει
- Συμπεριλαμβανομένου
- ενσωματώνοντας
- υποδηλώνει
- δείκτες
- λοίμωξη
- πληροφορίες
- εγκαθιστώ
- εγκατάσταση
- αντί
- Νοημοσύνη
- Πρόθεση
- σε
- προσκαλούν
- επικαλείται
- IT
- ΤΟΥ
- Ιανουάριος
- jpg
- τοπίο
- Επίθετο
- ξεκίνησε
- ξεκινάει
- οδηγήσει
- ΜΑΘΑΊΝΩ
- νόμιμος
- Μόχλευση
- Άδεια
- Μου αρέσει
- lin
- Λιστα
- φορτωτής
- φορτία
- μηχανήματα
- κακόβουλο
- malware
- Μάρτιος
- μαρκαρισμένος
- max
- μέθοδος
- ενδέχεται να
- περισσότερο
- καθαρά
- Νέα
- επόμενη
- Σημειώνεται
- αριθμός
- αντικείμενο
- παρατηρούμενη
- of
- συχνά
- on
- μια φορά
- ανοίξτε
- ανοικτού κώδικα
- or
- προέλευση
- ΑΛΛΑ
- Άλλα
- αλλιώς
- ανήκει
- People
- photoshop
- πλατφόρμες
- Πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Δημοφιλής
- Θέση
- PowerShell
- ιδιωτικός
- πρόσοδοι
- διαδικασια μας
- Πρόγραμμα
- Προγράμματα
- email marketing
- ιδιόκτητο
- παρέχουν
- δημοσιεύθηκε
- φθάνοντας
- λαμβάνω
- σχετικά με
- τακτικός
- σχετίζεται με
- Αποθήκη
- ευυπόληπτος
- πόρος
- υπεύθυνος
- s
- Είπε
- sandboxes
- σαρώσεις
- σενάρια
- γραφή
- προστατευμένο περιβάλλον
- ασφάλεια
- στείλετε
- αρχαιότερος
- ευαίσθητος
- διακομιστής
- διακομιστές
- εξυπηρετεί
- Υπηρεσίες
- Σέτς
- Κοινοποίηση
- Shared
- αυτή
- συντομευθεί
- θα πρέπει να
- παρόμοιες
- αφού
- ιστοσελίδα
- λογισμικό
- Πηγή
- Πηγές
- διάδοση
- Διάδοση
- Spreads
- Στάδιο
- ξεκινά
- Κατάσταση
- Βήμα
- κλαπεί
- ανασταλεί
- σύστημα
- στόχους
- τεχνικές
- Τεχνολογία
- Telegram
- από
- ότι
- Η
- τους
- Τους
- Αυτοί
- αυτοί
- αυτό
- φέτος
- απειλή
- συμβουλές
- προς την
- εργαλείο
- μετάβαση
- tutorials
- δύο
- συνήθως
- τελικά
- ασαφές
- ενημερώθηκε
- ενημερώσεις
- Φορτώθηκε
- Ανέβασμα
- χρήση
- μεταχειρισμένος
- Χρήστες
- Χρήστες
- χρησιμοποιώντας
- αξία
- Παραλλαγή
- διάφορα
- εκδοχή
- μέσω
- θύματα
- Βίντεο
- Πραγματικός
- ιστός
- ΛΟΙΠΌΝ
- ήταν
- Ποιό
- Άγριος
- θα
- με
- χωρίς
- Έγραψε
- έτος
- YouTube
- zephyrnet
- Zip