Ründajad on levitanud Lumma Stealeri varianti Youtube kanalid, mis sisaldavad populaarsete rakenduste purustamisega seotud sisu, vältides veebifiltreid, kasutades pahavara levitamiseks patenteeritud pahatahtlike serverite asemel avatud lähtekoodiga platvorme, nagu GitHub ja MediaFire.
FortiGuardi teadlased ütlesid, et kampaania on sarnane rünnakuga avastas eelmise aasta märtsis, mis kasutas tehisintellekti (AI) samm-sammuliste õpetuste levitamiseks selliste programmide nagu Photoshop, Autodesk 3ds Max, AutoCAD ja teiste ilma litsentsita installimise kohta.
"Need YouTube'i videod sisaldavad tavaliselt murtud rakendustega seotud sisu, esitades kasutajatele sarnaseid installijuhendeid ja sisaldavad pahatahtlikke URL-e, mida sageli lühendatakse selliste teenustega nagu TinyURL ja Cuttly," kirjutas Fortineti vanemanalüütik Cara Lin. In blogi postitus avaldas 8. jaanuaril Fortinet.
Ta kirjutas, et videotes jagatud lingid kasutavad linkide lühendamise teenuseid, nagu TinyURL ja Cuttly, ning viivad uue privaatse .NET-laaduri otse allalaadimiseni, mis vastutab lõpliku pahavara toomise eest, Lumma Stealer.
luma sihib tundlikku teavet, sealhulgas kasutaja mandaate, süsteemi üksikasju, brauseri andmeid ja laiendusi. Pahavara on esinenud reklaamides Dark Web'is ja Telegrami kanalis alates 2022. aastast, vabas looduses on rohkem kui tosin käsu- ja juhtimisserverit. mitu värskendust, vastavalt Fortinetile.
Kuidas Lumma varguse rünnak töötab
Rünnak algab sellega, et häkker rikub YouTube'i kontot ja laadib üles videoid, mille eesmärk on jagada näpunäiteid murtud tarkvara kohta, millele on lisatud pahatahtlikke URL-e sisaldavate videote kirjeldused. Samuti kutsuvad kirjeldused kasutajaid alla laadima pahatahtlikku sisu sisaldavat ZIP-faili.
Fortineti vaadeldud videod laaditi üles selle aasta alguses; failijagamissaidil olevaid faile uuendatakse aga regulaarselt ja allalaadimiste arv kasvab jätkuvalt, mis viitab sellele, et kampaania on jõudmas ohvriteni. "See näitab, et ZIP-fail on alati uus ja see meetod levitab tõhusalt pahavara," kirjutas Lin.
ZIP-fail sisaldab .LNK-faili, mis kutsub PowerShelli alla laadima .NET-i täitmisfaili GitHubi hoidla „New” kaudu, mille omanik on John1323456. Ülejäänud kaks hoidlat, “LNK” ja “LNK-Ex”, sisaldavad samuti .NET-laadureid ja levitavad Lumma lõpliku kasuliku koormusena.
"Loodud installifail .ZIP toimib tõhusa söödana kasuliku koorma kohaletoimetamiseks, kasutades ära kasutaja kavatsust rakendus installida ja paludes neil kõhklemata installifailil klõpsata," kirjutas Lin.
.NET-laaduri hägustamine toimub SmartAssembly abil, mis on seaduslik hägusustööriist. Laadija hangib süsteemi keskkonnaväärtuse ja kui andmete arv on õige, laadib see PowerShelli skripti. Vastasel juhul väljub protsess programmist.
YouTube'i pahavara vältimine ja ettevaatus
Pahavara on loodud tuvastamise vältimiseks: objekt ProcessStartInfo käivitab PowerShelli protsessi, mis lõpuks kutsub rünnaku järgmise etapi jaoks välja DLL-faili, mis skannib selle keskkonda, kasutades tuvastamisest kõrvalehoidmiseks erinevaid tehnikaid. See protsess hõlmab silurite kontrollimist; turvaseadmed või liivakastid; virtuaalsed masinad; ja muud teenused või failid, mis võivad pahatahtlikku protsessi blokeerida.
"Pärast kõigi keskkonnakontrollide lõpetamist dekrüpteerib programm ressursiandmed ja kutsub esile "SuspendThread; funktsioon," kirjutas Lin. "Seda funktsiooni kasutatakse niidi üleviimiseks "peatatud" olekusse, mis on kasuliku koormuse sisestamise protsessi oluline samm."
Pärast käivitamist on kasulik koormus, luma, suhtleb käsu- ja juhtimisserveriga (C2) ja loob ühenduse, et saata ründajatele tagasi tihendatud varastatud andmed. Kampaanias kasutatud variant on märgitud versiooniks 4.0, kuid on värskendanud oma väljafiltreerimist, et võimendada HTTPS-i, et paremini tuvastada, märkis Lin.
Infektsiooni saab siiski jälgida. Fortinet lisas postitusse kompromissinäitajate (IoC) loendi ja soovitas kasutajatel olla "ebaselgete rakendusallikate" suhtes ettevaatlik. Kui inimeste eesmärk on laadida rakendusi YouTube'ist või mõnelt muult platvormilt, peaksid nad tagama, et need on pärit usaldusväärsest ja turvalisest päritolust, märkis Fortinet.
Organisatsioonid peaksid pakkuma ka põhilisi küberturvalisuse koolitus postituse kohaselt oma töötajatele, et edendada olukorrateadlikkust praeguse ohumaastiku kohta, samuti õppida küberturvalisuse põhikontseptsioone ja tehnoloogiat. See aitab vältida stsenaariume, kus töötajad laadivad ettevõtte keskkonda alla pahatahtlikud failid.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/cyberattacks-data-breaches/weaponized-youtube-channels-spread-lumma-stealer
- :on
- :on
- $ UP
- 2022
- 8
- a
- MEIST
- lisatud
- Vastavalt
- konto
- omandamine
- kuulutused
- soovitatav
- pärast
- AI
- eesmärk
- Materjal: BPA ja flataatide vaba plastik
- Ka
- alati
- an
- analüütik
- ja
- mistahes
- Seadmed
- taotlus
- rakendused
- kunstlik
- tehisintellekti
- Tehisintellekt (AI)
- AS
- At
- rünnak
- Autodesk
- vältima
- teadlikkus
- tagasi
- sööt
- põhiline
- BE
- olnud
- Parem
- Hoiduge
- Blokeerima
- Blogi
- brauseri
- ehitatud
- kuid
- by
- Kutsub
- Kampaania
- CAN
- ettevaatust
- Kanal
- kanalid
- kontroll
- Kontroll
- klõps
- Tulema
- lõpetamist
- kompromiss
- mõisted
- ühendus
- sisu
- pidev
- Korporatiivne
- parandada
- krakitud
- Krakkimine
- meisterdatud
- volikiri
- otsustav
- Praegune
- Küberturvalisus
- tume
- Dark Web
- andmed
- tarnima
- detailid
- Detection
- otsene
- avastasin
- levitada
- lae alla
- allalaadimine
- tosin
- Ajalugu
- Tõhus
- tõhusalt
- Embed
- töötavad
- töötajad
- tagama
- keskkond
- keskkondades
- Eeter (ETH)
- põgeneda
- täitmine
- Teostama
- eksfiltreerimine
- väljub
- laiendused
- tunnusjoon
- Objekte
- fail
- Faile
- Filtrid
- lõplik
- eest
- Fortinet
- Alates
- funktsioon
- GitHub
- Kasvama
- juhendid
- häkker
- Olema
- aitama
- Kuidas
- Kuidas
- aga
- HTTPS
- if
- in
- sisaldama
- lisatud
- hõlmab
- Kaasa arvatud
- kaasates
- näitab
- näitajad
- infektsioon
- info
- paigaldama
- paigaldamine
- selle asemel
- Intelligentsus
- Kavatsus
- sisse
- kutsuma
- kutsub
- IT
- ITS
- John
- jpg
- maastik
- viimane
- käivitatud
- käivitab
- viima
- Õppida
- õigustatud
- Finantsvõimendus
- litsents
- nagu
- lin
- nimekiri
- laadur
- saadetised
- masinad
- pahatahtlik
- malware
- Märts
- märgitud
- max
- meetod
- võib
- rohkem
- neto
- Uus
- järgmine
- märkida
- number
- objekt
- vaadeldud
- of
- sageli
- on
- kunagi
- avatud
- avatud lähtekoodiga
- or
- juured
- Muu
- teised
- muidu
- omanikuks
- Inimesed
- photoshop
- inimesele
- Platvormid
- Platon
- Platoni andmete intelligentsus
- PlatoData
- populaarne
- post
- PowerShell
- era-
- tulu
- protsess
- Programm
- Programmid
- edendama
- varaline
- anda
- avaldatud
- jõuda
- saama
- kohta
- regulaarne
- seotud
- Hoidla
- lugupeetud
- ressurss
- vastutav
- s
- Ütlesin
- liivakastid
- skaneerib
- stsenaariumid
- käsikiri
- kindlustama
- turvalisus
- saatma
- vanem
- tundlik
- server
- serverid
- teenib
- Teenused
- Komplektid
- Jaga
- jagatud
- ta
- lühendada
- peaks
- sarnane
- alates
- site
- tarkvara
- allikas
- Allikad
- laiali
- Spreading
- Levib
- Stage
- algab
- riik
- Samm
- varastatud
- peatatud
- süsteem
- eesmärgid
- tehnikat
- Tehnoloogia
- Telegramm
- kui
- et
- .
- oma
- Neile
- Need
- nad
- see
- Sel aastal
- oht
- nõuanded
- et
- tööriist
- üleminek
- õpetused
- kaks
- tüüpiliselt
- lõpuks
- ebaselge
- ajakohastatud
- Uudised
- laetud
- Üleslaadimine
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutamine
- väärtus
- variant
- eri
- versioon
- kaudu
- ohvreid
- Videod
- virtuaalne
- web
- Hästi
- olid
- mis
- Metsik
- will
- koos
- ilma
- kirjutas
- aasta
- youtube
- sephyrnet
- Tõmblukk