Los atacantes han estado difundiendo una variante del Lumma Stealer a través de YouTube canales que presentan contenido relacionado con el descifrado de aplicaciones populares, eludiendo los filtros web mediante el uso de plataformas de código abierto como GitHub y MediaFire en lugar de servidores maliciosos propietarios para distribuir el malware.
Los investigadores de FortiGuard dijeron que la campaña es similar a un ataque descubrió en marzo pasado que utilizaba inteligencia artificial (IA) para difundir tutoriales paso a paso sobre cómo instalar programas como Photoshop, Autodesk 3ds Max, AutoCAD y otros sin licencia.
"Estos vídeos de YouTube suelen presentar contenido relacionado con aplicaciones descifradas, presentando a los usuarios guías de instalación similares e incorporando URL maliciosas a menudo acortadas mediante servicios como TinyURL y Cuttly", escribió Cara Lin, analista senior de Fortinet. en un blog publicado el 8 de enero por Fortinet.
Los enlaces compartidos en los videos utilizan servicios de acortamiento de enlaces como TinyURL y Cuttly, y conducen a la descarga directa de un nuevo cargador .NET privado responsable de buscar el malware final, Lumma Stealer, escribió.
Lumma apunta a información confidencial, incluidas credenciales de usuario, detalles del sistema, datos del navegador y extensiones. El malware ha aparecido en anuncios en la Dark Web y en un canal de Telegram desde 2022, con más de una docena de servidores de comando y control en funcionamiento y múltiples actualizaciones, según Fortinet.
Cómo funciona el ataque Lumma Stealer
El ataque comienza cuando un pirata informático viola una cuenta de YouTube y sube videos que pretenden compartir consejos sobre software descifrado, acompañados de descripciones de los videos que incorporan URL maliciosas. Las descripciones también invitan a los usuarios a descargar un archivo .ZIP que incluye contenido malicioso.
Los videos observados por Fortinet fueron subidos a principios de este año; sin embargo, los archivos del sitio para compartir archivos reciben actualizaciones periódicas y el número de descargas sigue creciendo, lo que sugiere que la campaña está llegando a las víctimas. "Esto indica que el archivo ZIP siempre es nuevo y que este método propaga efectivamente el malware", escribió Lin.
El archivo .ZIP incluye un archivo .LNK que llama a PowerShell para descargar un archivo de ejecución .NET a través del repositorio de GitHub “Nuevo” propiedad de John1323456. Los otros dos repositorios, “LNK” y “LNK-Ex”, también incluyen cargadores .NET y distribuyen Lumma como carga útil final.
"El archivo .ZIP de instalación diseñado sirve como un cebo eficaz para entregar la carga útil, explotando la intención del usuario de instalar la aplicación y solicitándole que haga clic en el archivo de instalación sin dudarlo", escribió Lin.
El cargador .NET se ofusca mediante SmartAssembly, una herramienta de ofuscación legítima. El cargador procede adquiriendo el valor del entorno del sistema y, una vez que el número de datos es correcto, carga el script de PowerShell. De lo contrario, el proceso sale del programa.
Evasión y precaución del malware de YouTube
El malware está diseñado para evitar la detección: el objeto ProcessStartInfo inicia el proceso PowerShell que finalmente invoca un archivo DLL para la siguiente etapa del ataque, que escanea su entorno utilizando varias técnicas para evadir la detección. Este proceso incluye la verificación de depuradores; aparatos de seguridad o cajas de arena; maquinas virtuales; y otros servicios o archivos que podrían bloquear un proceso malicioso.
“Después de completar todas las comprobaciones del entorno, el programa descifra los datos del recurso e invoca el comando 'SuspendThread; función”, escribió Lin. "Esta función se emplea para hacer la transición del hilo a un estado 'suspendido', un paso crucial en el proceso de inyección de carga útil".
Una vez lanzada, la carga útil, Lumma, se comunica con el servidor de comando y control (C2) y establece una conexión para enviar datos robados comprimidos a los atacantes. La variante utilizada en la campaña está marcada como versión 4.0, pero ha actualizado su exfiltración para aprovechar HTTPS y evadir mejor la detección, señaló Lin.
Sin embargo, se puede rastrear la infección. Fortinet incluyó una lista de indicadores de compromiso (IoC) en la publicación y recomendó a los usuarios que tengan cuidado con las "fuentes de aplicaciones poco claras". Si las personas desean descargar aplicaciones de YouTube o de cualquier otra plataforma, deben asegurarse de que provengan de orígenes confiables y seguros, señaló Fortinet.
Las organizaciones también deben proporcionar servicios básicos entrenamiento en ciberseguridad a sus empleados para promover la conciencia situacional sobre el panorama de amenazas actual, así como aprender conceptos y tecnología básicos de ciberseguridad, según la publicación. Esto ayudará a evitar escenarios en los que los empleados descarguen archivos maliciosos en entornos corporativos.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/cyberattacks-data-breaches/weaponized-youtube-channels-spread-lumma-stealer
- :posee
- :es
- $ UP
- 2022
- 8
- a
- Nuestra Empresa
- acompañado
- Conforme
- Mi Cuenta
- adquisición
- Anuncios
- aconsejado
- Después
- AI
- objetivo
- Todos
- también
- hacerlo
- an
- analista
- y
- cualquier
- accesorios
- Aplicación
- aplicaciones
- artificial
- inteligencia artificial
- Inteligencia Artificial (AI)
- AS
- At
- atacar
- autodesk
- evitar
- conciencia
- Atrás
- cebo
- básica
- BE
- esto
- mejores
- Tener cuidado
- Bloquear
- Blog
- cada navegador
- construido
- pero
- by
- Calls
- Campaña
- PUEDEN
- precaución
- Channel
- canales
- comprobación
- Cheques
- clic
- cómo
- completando
- compromiso
- conceptos
- conexión
- contenido
- continúa
- Sector empresarial
- correcta
- agrietado
- agrietamiento
- Elaborado
- Referencias
- crucial
- Current
- La Ciberseguridad
- Oscuro
- Web Obscura
- datos
- entregamos
- detalles
- Detección
- de reservas
- descubierto CRISPR
- distribuir
- descargar
- Descargas
- docena
- Más temprano
- Eficaz
- de manera eficaz
- incrustar
- empleado
- personas
- garantizar
- Entorno
- ambientes
- Éter (ETH)
- escapar
- ejecución
- Haz ejercicio
- exfiltración
- salidas
- extensiones
- Feature
- destacado
- Archive
- archivos
- filtros
- final
- Fortinet
- Desde
- función
- GitHub
- Crecer
- Guías
- pirata informático
- Tienen
- ayuda
- Cómo
- Como Hacer
- Sin embargo
- HTTPS
- if
- in
- incluir
- incluido
- incluye
- Incluye
- incorporando
- Indica
- indicadores
- infección
- información
- instalar
- instalación
- Intelligence
- Intención
- dentro
- invitar
- invoca
- IT
- SUS
- Ene
- jpg
- paisaje
- Apellidos
- lanzado
- pone en marcha
- Lead
- APRENDE:
- legítima
- Apalancamiento
- Licencia
- como
- lin
- Lista
- cargador
- cargas
- Máquinas
- malicioso
- el malware
- Marzo
- marcado
- max
- Método
- podría
- más,
- red
- Nuevo
- Next
- señaló
- número
- objeto
- observado
- of
- a menudo
- on
- una vez
- habiertos
- de código abierto
- or
- las orígenes
- Otro
- Otros
- de otra manera
- propiedad
- Personas
- photoshop
- plataforma
- Plataformas
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Popular
- Publicación
- PowerShell
- privada
- producto
- Programa
- Programas
- promover
- propietario
- proporcionar
- publicado
- alcanzando
- recepción
- con respecto a
- regular
- relacionado
- repositorio
- acreditado
- Recurso
- responsable
- s
- Said
- cajas de arena
- escanea
- escenarios
- guión
- seguro
- EN LINEA
- envío
- mayor
- sensible
- servidor
- servidores
- sirve
- Servicios
- Sets
- Compartir
- compartido
- ella
- acortado
- tienes
- similares
- desde
- página web
- Software
- Fuente
- Fuentes
- propagación
- esparcimiento
- Diferenciales
- Etapa
- comienza
- Estado
- paso
- robada
- suspendido
- te
- tiene como objetivo
- técnicas
- Tecnología
- Telegram
- que
- esa
- La
- su
- Les
- Estas
- ellos
- así
- este año
- amenaza
- recomendaciones
- a
- del IRS
- transición
- Tutoriales
- dos
- típicamente
- Finalmente, a veces
- poco claro
- actualizado
- Actualizaciones
- subido
- ¿Cómo subir tu libro?
- utilizan el
- usado
- Usuario
- usuarios
- usando
- propuesta de
- Variante
- diversos
- versión
- vía
- las víctimas
- Videos
- Virtual
- web
- WELL
- tuvieron
- que
- Wild
- seguirá
- sin
- escribí
- año
- Youtube
- zephyrnet
- Zip