A támadók a Lumma Stealer egy változatát terjesztik ezen keresztül Youtube olyan csatornák, amelyek a népszerű alkalmazások feltöréséhez kapcsolódó tartalmat tartalmaznak, elkerülve a webszűrőket, nyílt forráskódú platformokat használva, például a GitHub-ot és a MediaFire-t, a rosszindulatú kiszolgálók helyett a kártevő terjesztésére.
A FortiGuard kutatói szerint a kampány az támadáshoz hasonló Tavaly márciusban fedezték fel, hogy mesterséges intelligenciát (AI) használtak lépésről lépésre oktatóanyagok terjesztésére arról, hogyan telepíthetők licenc nélkül olyan programok, mint a Photoshop, az Autodesk 3ds Max, az AutoCAD és mások.
„Ezek a YouTube-videók általában feltört alkalmazásokkal kapcsolatos tartalmakat tartalmaznak, hasonló telepítési útmutatókat mutatnak be a felhasználóknak, és rosszindulatú URL-eket tartalmaznak, amelyeket gyakran olyan szolgáltatásokkal rövidítenek le, mint a TinyURL és a Cuttly” – írta Cara Lin, a Fortinet vezető elemzője. Egy blogbejegyzésben január 8-án adta ki a Fortinet.
A videókban megosztott linkek hivatkozásrövidítő szolgáltatásokat használnak, mint például a TinyURL és a Cuttly, és egy új, privát .NET-betöltő közvetlen letöltéséhez vezetnek, amely a végső rosszindulatú program, a Lumma Stealer letöltéséért felelős.
luma érzékeny információkat céloz meg, beleértve a felhasználói hitelesítő adatokat, a rendszer részleteit, a böngészőadatokat és a bővítményeket. A rosszindulatú program 2022 óta szerepel a Dark Web és egy Telegram csatorna hirdetéseiben, több mint egy tucat parancs- és vezérlőszerverrel a vadonban és több frissítés, a Fortinet szerint.
Hogyan működik a Lumma Stealer Attack
A támadás azzal kezdődik, hogy egy hacker feltör egy YouTube-fiókot, és olyan videókat tölt fel, amelyek célja, hogy tippeket osztanak meg a feltört szoftverekkel kapcsolatban, és a rosszindulatú URL-eket beágyazó videók leírásával együtt. A leírások arra is felkérik a felhasználókat, hogy töltsenek le egy rosszindulatú tartalmat tartalmazó .ZIP fájlt.
A Fortinet által megfigyelt videókat az év elején töltötték fel; a fájlmegosztón található fájlok azonban rendszeresen frissülnek, a letöltések száma pedig folyamatosan nő, ami arra utal, hogy a kampány áldozatokhoz jut. "Ez azt jelzi, hogy a ZIP-fájl mindig új, és ez a módszer hatékonyan terjeszti a rosszindulatú programokat" - írta Lin.
A .ZIP-fájl tartalmaz egy .LNK-fájlt, amely meghívja a PowerShellt, hogy töltsön le egy .NET-végrehajtási fájlt a John1323456 tulajdonában lévő „New” GitHub-lerakaton keresztül. A másik két adattár, az „LNK” és az „LNK-Ex” szintén tartalmaz .NET-betöltőket, és végső hasznos terhelésként a spread Lummát.
"A kialakított telepítő .ZIP fájl hatékony csaliként szolgál a hasznos teher kézbesítéséhez, kihasználva a felhasználó szándékát az alkalmazás telepítésére, és arra készteti őket, hogy habozás nélkül kattintsanak a telepítőfájlra" – írta Lin.
A .NET-betöltőt a SmartAssembly, egy legitim obfuszkáló eszköz segítségével homályosítják el. A betöltő lekéri a rendszer környezeti értékét, és ha az adatok száma helyes, betölti a PowerShell-szkriptet. Ellenkező esetben a folyamat kilép a programból.
YouTube rosszindulatú programok kijátszása és óvatosság
A rosszindulatú program az észlelés elkerülésére készült: A ProcessStartInfo objektum elindítja a PowerShell-folyamatot, amely végül egy DLL-fájlt hív meg a támadás következő szakaszához, amely különféle technikákkal ellenőrzi környezetét, hogy elkerülje az észlelést. Ez a folyamat magában foglalja a hibakeresők ellenőrzését; biztonsági berendezések vagy homokozók; virtuális gépek; és egyéb szolgáltatások vagy fájlok, amelyek blokkolhatják a rosszindulatú folyamatokat.
„Az összes környezeti ellenőrzés elvégzése után a program visszafejti az erőforrásadatokat, és meghívja a „SuspendThread; funkciót” – írta Lin. „Ez a funkció a szál „felfüggesztett” állapotba való átállítására szolgál, ami döntő lépés a hasznos teherbefecskendezés folyamatában.”
Az indítás után a hasznos teher, luma, kommunikál a parancs- és vezérlőkiszolgálóval (C2), és kapcsolatot hoz létre a tömörített ellopott adatok visszaküldéséhez a támadóknak. A kampányban használt változat 4.0-s verzióként van megjelölve, de frissítette a kiszűrését, hogy kihasználja a HTTPS-t az észlelés elkerülése érdekében, jegyezte meg Lin.
A fertőzés azonban nyomon követhető. A Fortinet a bejegyzésben felsorolta a kompromisszumra utaló indikátorokat (IoC), és figyelmeztette a felhasználókat, hogy legyenek óvatosak a „nem egyértelmű alkalmazásforrásokkal”. Ha az emberek célja, hogy alkalmazásokat töltsenek le a YouTube-ról vagy bármely más platformról, gondoskodniuk kell arról, hogy jó hírű és biztonságos származásúak legyenek – jegyezte meg Fortinet.
A szervezeteknek biztosítaniuk kell az alapszintet is kiberbiztonsági képzés A bejegyzés szerint munkatársaiknak segítik előmozdítani a helyzetfelismerést a jelenlegi fenyegetettségről, valamint megtanulják az alapvető kiberbiztonsági fogalmakat és technológiát. Ez segít elkerülni azokat a forgatókönyveket, amikor az alkalmazottak rosszindulatú fájlokat töltenek le a vállalati környezetbe.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cyberattacks-data-breaches/weaponized-youtube-channels-spread-lumma-stealer
- :van
- :is
- $ UP
- 2022
- 8
- a
- Rólunk
- kísért
- Szerint
- Fiók
- megszerzése
- hirdetések
- tanácsos
- Után
- AI
- cél
- Minden termék
- Is
- mindig
- an
- elemző
- és a
- bármilyen
- készülékek
- Alkalmazás
- alkalmazások
- mesterséges
- mesterséges intelligencia
- Mesterséges intelligencia (AI)
- AS
- At
- támadás
- Autodesk
- elkerülése érdekében
- tudatosság
- vissza
- csali
- alapvető
- BE
- óta
- Jobb
- Óvakodik
- Blokk
- Blog
- böngésző
- épült
- de
- by
- kéri
- Kampány
- TUD
- óvatosság
- csatorna
- csatornák
- ellenőrzése
- Ellenőrzések
- kettyenés
- hogyan
- kitöltésével
- kompromisszum
- fogalmak
- kapcsolat
- tartalom
- tovább
- Társasági
- kijavítására
- repedt
- reccsenés
- kidolgozott
- Hitelesítő adatok
- kritikus
- Jelenlegi
- Kiberbiztonság
- sötét
- Sötét web
- dátum
- szállít
- részletek
- Érzékelés
- közvetlen
- felfedezett
- terjeszteni
- letöltés
- letöltések
- tucat
- Korábban
- Hatékony
- hatékonyan
- Beágyaz
- munkavállaló
- alkalmazottak
- biztosítására
- Környezet
- környezetek
- Eter (ETH)
- kikerülni
- végrehajtás
- Gyakorol
- kiszűrés
- kilép
- kiterjesztések
- Funkció
- jellegű
- filé
- Fájlok
- Szűrők
- utolsó
- A
- Fortinet
- ból ből
- funkció
- GitHub
- Nő
- Útmutatók
- hacker
- Legyen
- segít
- Hogyan
- How To
- azonban
- HTTPS
- if
- in
- tartalmaz
- beleértve
- magában foglalja a
- Beleértve
- amely magában foglalja
- jelzi
- mutatók
- fertőzés
- információ
- telepíteni
- telepítés
- helyette
- Intelligencia
- Szándék
- bele
- meghívni
- behívja
- IT
- ITS
- január
- jpg
- táj
- keresztnév
- indított
- elindítja
- vezet
- TANUL
- jogos
- Tőkeáttétel
- Engedély
- mint
- lin
- Lista
- rakodó
- terhelések
- gép
- rosszindulatú
- malware
- március
- megjelölt
- max
- módszer
- esetleg
- több
- háló
- Új
- következő
- neves
- szám
- tárgy
- megfigyelt
- of
- gyakran
- on
- egyszer
- nyitva
- nyílt forráskódú
- or
- származás
- Más
- Egyéb
- másképp
- tulajdonú
- Emberek (People)
- photoshop
- emelvény
- Platformok
- Plató
- Platón adatintelligencia
- PlatoData
- Népszerű
- állás
- PowerShell
- magán
- bevétel
- folyamat
- Program
- Programok
- kellene támogatnia,
- szabadalmazott
- ad
- közzétett
- elérése
- kap
- tekintettel
- szabályos
- összefüggő
- raktár
- jó hírű
- forrás
- felelős
- s
- Mondott
- homokozó
- vizsgál
- forgatókönyvek
- forgatókönyv
- biztonság
- biztonság
- küld
- idősebb
- érzékeny
- szerver
- szerverek
- szolgálja
- Szolgáltatások
- Szettek
- Megosztás
- megosztott
- ő
- rövidített
- kellene
- hasonló
- óta
- weboldal
- szoftver
- forrás
- Források
- terjedése
- terjedés
- Kenhető
- Színpad
- kezdődik
- Állami
- Lépés
- lopott
- felfüggesztett
- rendszer
- célok
- technikák
- Technológia
- Telegram
- mint
- hogy
- A
- azok
- Őket
- Ezek
- ők
- ezt
- idén
- fenyegetés
- tippek
- nak nek
- szerszám
- átmenet
- oktatóanyagok
- kettő
- jellemzően
- Végül
- homályos
- frissítve
- Frissítés
- feltöltve
- Feltöltés
- használ
- használt
- használó
- Felhasználók
- segítségével
- érték
- Változat
- különféle
- változat
- keresztül
- áldozatok
- Videók
- Tényleges
- háló
- JÓL
- voltak
- ami
- Vadon
- lesz
- val vel
- nélkül
- írt
- év
- youtube
- zephyrnet
- Postai irányítószám