Les attaquants ont propagé une variante du Lumma Stealer via YouTube chaînes qui présentent du contenu lié au piratage d'applications populaires, échappant aux filtres Web en utilisant des plates-formes open source comme GitHub et MediaFire au lieu de serveurs malveillants propriétaires pour distribuer les logiciels malveillants.
Les chercheurs de FortiGuard ont déclaré que la campagne était semblable à une attaque découvert en mars dernier qui utilisait l'intelligence artificielle (IA) pour diffuser des didacticiels étape par étape sur la façon d'installer des programmes comme Photoshop, Autodesk 3ds Max, AutoCAD et d'autres sans licence.
"Ces vidéos YouTube présentent généralement du contenu lié à des applications piratées, présentant aux utilisateurs des guides d'installation similaires et incorporant des URL malveillantes souvent raccourcies à l'aide de services comme TinyURL et Cuttly", a écrit Cara Lin, analyste senior chez Fortinet. dans un billet de blog publié le 8 janvier par Fortinet.
Les liens partagés dans les vidéos utilisent des services de raccourcissement de liens comme TinyURL et Cuttly, et conduisent au téléchargement direct d'un nouveau chargeur .NET privé chargé de récupérer le malware final, Lumma Stealer, a-t-elle écrit.
Lumma cible les informations sensibles, notamment les informations d’identification des utilisateurs, les détails du système, les données du navigateur et les extensions. Le malware est présenté dans des publicités sur le Dark Web et sur une chaîne Telegram depuis 2022, avec plus d'une douzaine de serveurs de commande et de contrôle dans la nature et plusieurs mises à jour, selon Fortinet.
Comment fonctionne l'attaque Lumma Stealer
L'attaque commence par un pirate informatique piratant un compte YouTube et mettant en ligne des vidéos prétendant partager des conseils sur des logiciels piratés, accompagnées de descriptions de vidéos intégrant des URL malveillantes. Les descriptions invitent également les utilisateurs à télécharger un fichier .ZIP contenant du contenu malveillant.
Les vidéos observées par Fortinet ont été mises en ligne plus tôt cette année ; cependant, les fichiers présents sur le site de partage de fichiers reçoivent des mises à jour régulières et le nombre de téléchargements continue d'augmenter, ce qui suggère que la campagne atteint les victimes. "Cela indique que le fichier ZIP est toujours nouveau et que cette méthode propage efficacement les logiciels malveillants", a écrit Lin.
Le fichier .ZIP comprend un fichier .LNK qui appelle PowerShell pour télécharger un fichier d'exécution .NET via le référentiel GitHub « New » appartenant à John1323456. Les deux autres référentiels, « LNK » et « LNK-Ex », incluent également des chargeurs .NET et diffusent Lumma comme charge utile finale.
"Le fichier d'installation .ZIP contrefait sert d'appât efficace pour fournir la charge utile, exploitant l'intention de l'utilisateur d'installer l'application et l'invitant à cliquer sur le fichier d'installation sans hésitation", a écrit Lin.
Le chargeur .NET est obscurci à l'aide de SmartAssembly, un outil d'obscurcissement légitime. Le chargeur procède en acquérant la valeur de l'environnement du système et, une fois le nombre de données correct, il charge le script PowerShell. Sinon, le processus quitte le programme.
Évitement et mise en garde contre les logiciels malveillants YouTube
Le malware est conçu pour éviter la détection : l'objet ProcessStartInfo lance le processus PowerShell qui appelle finalement un fichier DLL pour l'étape suivante de l'attaque, qui analyse son environnement à l'aide de diverses techniques pour échapper à la détection. Ce processus inclut la vérification des débogueurs ; appareils de sécurité ou bacs à sable ; machines virtuelles; et d'autres services ou fichiers susceptibles de bloquer un processus malveillant.
« Après avoir terminé toutes les vérifications de l'environnement, le programme décrypte les données de ressources et appelle le « SuspendThread ; » fonction », a écrit Lin. "Cette fonction est utilisée pour faire passer le thread dans un état" suspendu ", une étape cruciale dans le processus d'injection de charge utile."
Une fois lancée, la charge utile, Lumma, communique avec le serveur de commande et de contrôle (C2) et établit une connexion pour renvoyer les données volées compressées aux attaquants. La variante utilisée dans la campagne est marquée comme version 4.0, mais a mis à jour son exfiltration pour tirer parti du HTTPS afin de mieux échapper à la détection, a noté Lin.
Cependant, l'infection peut être traquée. Fortinet a inclus une liste d'indicateurs de compromission (IoC) dans la publication et a conseillé aux utilisateurs de faire preuve de prudence concernant les « sources d'applications peu claires ». Si les gens souhaitent télécharger des applications depuis YouTube ou toute autre plate-forme, ils doivent s'assurer qu'elles proviennent d'origines réputées et sécurisées, a noté Fortinet.
Les organisations devraient également fournir des services de base formation à la cybersécurité à leurs employés pour promouvoir une connaissance de la situation sur le paysage actuel des menaces, ainsi que pour apprendre les concepts et la technologie de base en matière de cybersécurité, selon le message. Cela permettra d’éviter les scénarios dans lesquels les employés téléchargent des fichiers malveillants dans les environnements de l’entreprise.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/cyberattacks-data-breaches/weaponized-youtube-channels-spread-lumma-stealer
- :possède
- :est
- $UP
- 2022
- 8
- a
- A Propos
- accompagné
- Selon
- Compte
- acquisition
- annonces
- informé
- Après
- AI
- objectif
- Tous
- aussi
- toujours
- an
- analyste
- ainsi que
- tous
- encore
- Application
- applications
- artificiel
- intelligence artificielle
- Intelligence artificielle (AI)
- AS
- At
- attaquer
- Autodesk
- éviter
- RETOUR
- appât
- Essentiel
- BE
- était
- Améliorée
- Il faut se méfier
- Block
- Blog
- navigateur
- construit
- mais
- by
- Appels
- Campagne
- CAN
- prudence
- Développement
- Voies
- vérification
- Contrôles
- cliquez
- comment
- compléter
- compromis
- concepts
- connexion
- contenu
- continue
- Entreprises
- correct
- fissuré
- fissuration
- Fabriqué
- Lettres de créance
- crucial
- Courant
- Cybersécurité
- Foncé
- Places de marché
- données
- livrer
- détails
- Détection
- découvert
- distribuer
- download
- téléchargements
- douzaine
- Plus tôt
- Efficace
- de manière efficace
- enchâsser
- employés
- employés
- assurer
- Environment
- environnements
- Ether (ETH)
- éluder
- exécution
- Exercises
- exfiltration
- sorties
- extensions
- Fonctionnalité
- en vedette
- Déposez votre dernière attestation
- Fichiers
- filtres
- finale
- Pour
- Fortinet
- De
- fonction
- GitHub
- Croître
- Guides
- pirate
- Vous avez
- vous aider
- Comment
- How To
- Cependant
- HTTPS
- if
- in
- comprendre
- inclus
- inclut
- Y compris
- incorporation
- indique
- Indicateurs
- infection
- d'information
- installer
- installation
- plutôt ;
- Intelligence
- Intention
- développement
- nous invitons les riders XCO et DH à rouler sur nos pistes haute performance, et leurs supporters à profiter du spectacle. Pour le XNUMXe anniversaire, nous visons GRAND ! Vous allez vouloir être là ! Nous accueillerons la légendaire traversée de l'étant avec de la musique en direct ! Nous aurons également des divertissements pour les jeunes et les jeunes de cœur pendant l'après-midi. Vous ne voudrez pas manquer ça !
- invoque
- IT
- SES
- Janvier
- jpg
- paysage d'été
- Nom
- lancé
- lance
- conduire
- APPRENTISSAGE
- légitime
- Levier
- Licence
- comme
- lin
- Liste
- chargeur
- charges
- Les machines
- malveillant
- malware
- Mars
- marqué
- max
- méthode
- pourrait
- PLUS
- net
- Nouveauté
- next
- noté
- nombre
- objet
- observée
- of
- souvent
- on
- une fois
- ouvert
- open source
- or
- les origines
- Autre
- Autres
- autrement
- propriété
- Personnes
- photoshop
- plateforme
- Plateformes
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Populaire
- Post
- PowerShell
- Privé
- produit
- processus
- Programme
- Programmes
- promouvoir
- propriétaire
- fournir
- publié
- atteindre
- recevoir
- en ce qui concerne
- Standard
- en relation
- dépôt
- honorable
- ressource
- responsables
- s
- Saïd
- bacs à sable
- analyse
- scénarios
- scénario
- sécurisé
- sécurité
- envoyer
- supérieur
- sensible
- serveur
- serveurs
- sert
- Services
- Sets
- Partager
- commun
- elle
- raccourcie
- devrait
- similaires
- depuis
- site
- Logiciels
- Identifier
- Sources
- propagation
- Diffusion
- les pâtes à tartiner
- Étape
- départs
- Région
- étapes
- volé
- suspendu
- combustion propre
- objectifs
- techniques
- Technologie
- Telegram
- que
- qui
- La
- leur
- Les
- Ces
- l'ont
- this
- cette année
- menace
- conseils
- à
- outil
- transition
- tutoriels
- deux
- typiquement
- En fin de compte
- pas clair
- a actualisé
- Actualités
- téléchargé
- Téléchargement
- utilisé
- d'utiliser
- Utilisateur
- utilisateurs
- en utilisant
- Plus-value
- Variante
- divers
- version
- via
- victimes
- Vidéos
- Salle de conférence virtuelle
- web
- WELL
- ont été
- qui
- Sauvage
- sera
- comprenant
- sans
- écrit
- an
- Youtube
- zéphyrnet
- Zip