Hyökkääjät ovat levittäneet Lumma Stealer -versiota kautta YouTube kanavat, jotka sisältävät suosittujen sovellusten murtamiseen liittyvää sisältöä, jotka välttelevät verkkosuodattimia käyttämällä avoimen lähdekoodin alustoja, kuten GitHubia ja MediaFirea, omien haitallisten palvelimien sijaan haittaohjelmien levittämiseen.
FortiGuardin tutkijat sanoivat, että kampanja on samanlainen kuin hyökkäys havaitsi viime maaliskuussa, että tekoäly (AI) levitti vaiheittaisia opetusohjelmia Photoshopin, Autodesk 3ds Maxin, AutoCADin ja muiden ohjelmien asentamisesta ilman lisenssiä.
"Näissä YouTube-videoissa on yleensä sisältöä, joka liittyy murrettuihin sovelluksiin, esittelee käyttäjille samanlaisia asennusoppaita ja sisältää haitallisia URL-osoitteita, joita usein lyhennetään käyttämällä palveluita, kuten TinyURL ja Cuttly", Fortinetin vanhempi analyytikko Cara Lin kirjoitti. kirjoitusta julkaisi 8. tammikuuta Fortinet.
Videoissa jaetut linkit käyttävät linkkien lyhennyspalveluita, kuten TinyURL ja Cuttly, ja johtavat uuden, yksityisen .NET-latausohjelman, joka vastaa lopullisen haittaohjelman, Lumma Stealer, lataamiseen, hän kirjoitti.
luma kohdistaa arkaluonteisiin tietoihin, mukaan lukien käyttäjätiedot, järjestelmätiedot, selaintiedot ja laajennukset. Haittaohjelma on ollut esillä mainoksissa Dark Webissä ja Telegram-kanavalla vuodesta 2022 lähtien, ja yli tusina komento- ja ohjauspalvelinta luonnossa ja useita päivityksiä, Fortinetin mukaan.
Kuinka Lumma Stealer Attack toimii
Hyökkäys alkaa siitä, että hakkeri murtaa YouTube-tilin ja lataa videoita, joiden tarkoituksena on jakaa vinkkejä murretuista ohjelmistoista, sekä kuvauksia haitallisia URL-osoitteita sisältävistä videoista. Kuvaukset kutsuvat käyttäjiä myös lataamaan haitallista sisältöä sisältävän .ZIP-tiedoston.
Fortinetin havaitsemat videot on ladattu aiemmin tänä vuonna; Tiedostojenjakosivustolla olevat tiedostot kuitenkin päivitetään säännöllisesti, ja latausten määrä jatkaa kasvuaan, mikä viittaa siihen, että kampanja tavoittaa uhreja. "Tämä osoittaa, että ZIP-tiedosto on aina uusi ja että tämä menetelmä levittää tehokkaasti haittaohjelmia", Lin kirjoitti.
.ZIP-tiedosto sisältää .LNK-tiedoston, joka kutsuu PowerShellia lataamaan .NET-suoritustiedoston John1323456:n omistaman GitHub-tietovaraston "New" kautta. Kaksi muuta arkistoa, "LNK" ja "LNK-Ex", sisältävät myös .NET-lataajat ja levittävät Lumman lopullisena hyötykuormana.
"Muotoiltu asennus .ZIP-tiedosto toimii tehokkaana syöttinä hyötykuorman toimittamiseen, hyödyntäen käyttäjän aikomusta asentaa sovellus ja kehottaa heitä napsauttamaan asennustiedostoa epäröimättä", Lin kirjoitti.
.NET-lataaja hämärtää käyttämällä SmartAssemblya, laillista hämärätyökalua. Lataaja etenee hankkimalla järjestelmän ympäristöarvon ja kun tietojen numero on oikea, se lataa PowerShell-komentosarjan. Muussa tapauksessa prosessi poistuu ohjelmasta.
YouTube-haittaohjelmien kiertäminen ja varoitus
Haittaohjelma on rakennettu välttämään havaitsemista: ProcessStartInfo-objekti käynnistää PowerShell-prosessin, joka lopulta kutsuu hyökkäyksen seuraavaa vaihetta varten DLL-tiedoston, joka skannaa ympäristönsä käyttämällä erilaisia tekniikoita havaitsemisen välttämiseksi. Tämä prosessi sisältää virheenkorjausohjelmien tarkistamisen; turvalaitteet tai hiekkalaatikot; virtuaalikoneet; ja muut palvelut tai tiedostot, jotka voivat estää haitallisen prosessin.
"Kun kaikki ympäristötarkastukset on suoritettu, ohjelma purkaa resurssitietojen salauksen ja kutsuu "SuspendThread; toiminto", Lin kirjoitti. "Tätä toimintoa käytetään säikeen siirtämiseen "keskeytettyyn" tilaan, mikä on ratkaiseva vaihe hyötykuorman lisäysprosessissa."
Käynnistyksen jälkeen hyötykuorma, luma, kommunikoi komento- ja ohjauspalvelimen (C2) kanssa ja muodostaa yhteyden pakattujen varastettujen tietojen lähettämiseksi takaisin hyökkääjille. Kampanjassa käytetty muunnelma on merkitty versioksi 4.0, mutta se on päivittänyt suodatuksensa hyödyntämään HTTPS:ää tunnistamisen välttämiseksi paremmin, Lin huomautti.
Infektio voidaan kuitenkin jäljittää. Fortinet sisällytti viestiin luettelon kompromissiindikaattoreista (IoC) ja kehotti käyttäjiä olemaan varovaisia "epäselvien sovelluslähteiden" suhteen. Jos ihmiset pyrkivät lataamaan sovelluksia YouTubesta tai mistä tahansa muusta alustasta, heidän tulee varmistaa, että ne tulevat hyvämaineisesta ja turvallisesta alkuperästä, Fortinet huomautti.
Organisaatioiden tulisi myös tarjota perustiedot kyberturvallisuuskoulutusta työntekijöilleen edistääkseen tilannetietoisuutta nykyisestä uhkamaisemasta sekä oppiakseen kyberturvallisuuden peruskäsitteitä ja teknologiaa postauksen mukaan. Tämä auttaa välttämään skenaarioita, joissa työntekijät lataavat haitallisia tiedostoja yritysympäristöihin.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/cyberattacks-data-breaches/weaponized-youtube-channels-spread-lumma-stealer
- :on
- :On
- $ YLÖS
- 2022
- 8
- a
- Meistä
- liitettävä
- Mukaan
- Tili
- hankkiminen
- mainokset
- neuvoi
- Jälkeen
- AI
- tavoitteena
- Kaikki
- Myös
- aina
- an
- analyytikko
- ja
- Kaikki
- laitteet
- Hakemus
- sovellukset
- keinotekoinen
- tekoäly
- Tekoäly (AI)
- AS
- At
- hyökkäys
- Autodesk
- välttää
- tietoisuus
- takaisin
- syötti
- perustiedot
- BE
- ollut
- Paremmin
- Varo
- Tukkia
- Blogi
- selain
- rakennettu
- mutta
- by
- Puhelut
- Kampanja
- CAN
- varovaisuus
- Kanava
- kanavat
- tarkkailun
- Tarkastukset
- napsauttaa
- Tulla
- Suoritettuaan
- kompromissi
- käsitteet
- liitäntä
- pitoisuus
- jatkuu
- Yrityksen
- korjata
- säröillä
- halkeilua
- muotoillun
- Valtakirja
- ratkaiseva
- Nykyinen
- tietoverkkojen
- tumma
- tumma Web
- tiedot
- toimittaa
- yksityiskohdat
- Detection
- ohjata
- löysi
- jakaa
- download
- lataukset
- tusina
- Aikaisemmin
- Tehokas
- tehokkaasti
- Upottaa
- Työllisiä
- työntekijää
- varmistaa
- ympäristö
- ympäristöissä
- Eetteri (ETH)
- kiertää
- teloitus
- Käyttää
- suodatus
- uloskäynnit
- laajennukset
- Ominaisuus
- varustellun
- filee
- Asiakirjat
- suodattimet
- lopullinen
- varten
- Fortinet
- alkaen
- toiminto
- GitHub
- Kasvaa
- Oppaat
- hakkeri
- Olla
- auttaa
- Miten
- Miten
- Kuitenkin
- HTTPS
- if
- in
- sisältää
- mukana
- sisältää
- Mukaan lukien
- sisältävät
- ilmaisee
- indikaattorit
- infektio
- tiedot
- asentaa
- asennus
- sen sijaan
- Älykkyys
- Tarkoitus
- tulee
- kutsu
- vedotaan
- IT
- SEN
- Johannes
- jpg
- Landschaft
- Sukunimi
- käynnistettiin
- käynnistää
- johtaa
- OPPIA
- laillinen
- Vaikutusvalta
- Lisenssi
- pitää
- lin
- Lista
- loader
- kuormat
- Koneet
- ilkeä
- haittaohjelmat
- maaliskuu
- merkitty
- max
- menetelmä
- ehkä
- lisää
- netto
- Uusi
- seuraava
- huomattava
- numero
- objekti
- Havaittu
- of
- usein
- on
- kerran
- avata
- avoimen lähdekoodin
- or
- alkuperä
- Muut
- Muuta
- muuten
- omistuksessa
- Ihmiset
- photoshop
- foorumi
- Platforms
- Platon
- Platonin tietotieto
- PlatonData
- Suosittu
- Kirje
- PowerShell
- yksityinen
- tuotto
- prosessi
- Ohjelma
- Ohjelmat
- edistää
- patentoitu
- toimittaa
- julkaistu
- päästäisiin
- vastaanottaa
- suhteen
- säännöllinen
- liittyvä
- säilytyspaikka
- hyvämaineinen
- resurssi
- vastuullinen
- s
- Said
- hiekkalaatikot
- skannaa
- skenaariot
- käsikirjoitus
- turvallinen
- turvallisuus
- lähettää
- vanhempi
- sensible
- palvelin
- palvelimet
- palvelee
- Palvelut
- Setit
- Jaa:
- yhteinen
- hän
- lyhennetty
- shouldnt
- samankaltainen
- koska
- paikka
- Tuotteemme
- lähde
- Lähteet
- levitä
- leviäminen
- levitteet
- Vaihe
- alkaa
- Osavaltio
- Vaihe
- varastettu
- keskeytetty
- järjestelmä
- tavoitteet
- tekniikat
- Elektroniikka
- Telegram
- kuin
- että
- -
- heidän
- Niitä
- Nämä
- ne
- tätä
- Tämä vuosi
- uhkaus
- vinkit
- että
- työkalu
- siirtyminen
- opetusohjelmat
- kaksi
- tyypillisesti
- Lopulta
- epäselvä
- päivitetty
- Päivitykset
- ladattu
- Ladataan
- käyttää
- käytetty
- käyttäjä
- Käyttäjät
- käyttämällä
- arvo
- variantti
- eri
- versio
- kautta
- uhrit
- Videoita
- Virtual
- verkko
- HYVIN
- olivat
- joka
- Villi
- tulee
- with
- ilman
- kirjoitti
- vuosi
- youtube
- zephyrnet
- Postinumero