A támadók a Lumma Stealer egy változatát terjesztik ezen keresztül Youtube olyan csatornák, amelyek a népszerű alkalmazások feltöréséhez kapcsolódó tartalmat tartalmaznak, elkerülve a webszűrőket, nyílt forráskódú platformokat használva, például a GitHub-ot és a MediaFire-t, a rosszindulatú kiszolgálók helyett a kártevő terjesztésére.
A FortiGuard kutatói szerint a kampány az támadáshoz hasonló Tavaly márciusban fedezték fel, hogy mesterséges intelligenciát (AI) használtak lépésről lépésre oktatóanyagok terjesztésére arról, hogyan telepíthetők licenc nélkül olyan programok, mint a Photoshop, az Autodesk 3ds Max, az AutoCAD és mások.
“These YouTube videos typically feature content related to cracked applications, presenting users with similar installation guides and incorporating malicious URLs often shortened using services like TinyURL and Cuttly,” Cara Lin, Fortinet senior analyst, wrote Egy blogbejegyzésben január 8-án adta ki a Fortinet.
A videókban megosztott linkek hivatkozásrövidítő szolgáltatásokat használnak, mint például a TinyURL és a Cuttly, és egy új, privát .NET-betöltő közvetlen letöltéséhez vezetnek, amely a végső rosszindulatú program, a Lumma Stealer letöltéséért felelős.
luma érzékeny információkat céloz meg, beleértve a felhasználói hitelesítő adatokat, a rendszer részleteit, a böngészőadatokat és a bővítményeket. A rosszindulatú program 2022 óta szerepel a Dark Web és egy Telegram csatorna hirdetéseiben, több mint egy tucat parancs- és vezérlőszerverrel a vadonban és több frissítés, a Fortinet szerint.
Hogyan működik a Lumma Stealer Attack
A támadás azzal kezdődik, hogy egy hacker feltör egy YouTube-fiókot, és olyan videókat tölt fel, amelyek célja, hogy tippeket osztanak meg a feltört szoftverekkel kapcsolatban, és a rosszindulatú URL-eket beágyazó videók leírásával együtt. A leírások arra is felkérik a felhasználókat, hogy töltsenek le egy rosszindulatú tartalmat tartalmazó .ZIP fájlt.
The videos observed by Fortinet were uploaded earlier this year; however, the files on the file-sharing site receive regular updates, and the number of downloads continues to grow, suggesting that the campaign is reaching victims. “This indicates that the ZIP file is always new and that this method effectively spreads malware,” Lin wrote.
The .ZIP file includes an .LNK file that calls PowerShell to download a .NET execution file via the GitHub repository “New” owned by John1323456. The other two repositories, “LNK” and “LNK-Ex,” also include .NET loaders and spread Lumma as the final payload.
“The crafted installation .ZIP file serves as an effective bait to deliver the payload, exploiting the user’s intention to install the application and prompting them to click the installation file without hesitation,” Lin wrote.
The .NET loader is obfuscated using SmartAssembly, a legitimate obfuscation tool. The loader proceeds by acquiring the system’s environment value and, once the number of the data is correct, it loads the PowerShell script. Otherwise, the process exits the program.
YouTube rosszindulatú programok kijátszása és óvatosság
A rosszindulatú program az észlelés elkerülésére készült: A ProcessStartInfo objektum elindítja a PowerShell-folyamatot, amely végül egy DLL-fájlt hív meg a támadás következő szakaszához, amely különféle technikákkal ellenőrzi környezetét, hogy elkerülje az észlelést. Ez a folyamat magában foglalja a hibakeresők ellenőrzését; biztonsági berendezések vagy homokozók; virtuális gépek; és egyéb szolgáltatások vagy fájlok, amelyek blokkolhatják a rosszindulatú folyamatokat.
“After completing all environment checks, the program decrypts the resource data and invokes the ‘SuspendThread; function,” Lin wrote. “This function is employed to transition the thread into a ‘suspended’ state, a crucial step in the process of payload injection.”
Az indítás után a hasznos teher, luma, kommunikál a parancs- és vezérlőkiszolgálóval (C2), és kapcsolatot hoz létre a tömörített ellopott adatok visszaküldéséhez a támadóknak. A kampányban használt változat 4.0-s verzióként van megjelölve, de frissítette a kiszűrését, hogy kihasználja a HTTPS-t az észlelés elkerülése érdekében, jegyezte meg Lin.
However, infection can be tracked. Fortinet included a list of indicators of compromise (IoCs) in the post, and advised the users exercise caution regarding “unclear application sources.” If people aim to download applications from YouTube or any other platform, they should ensure they come from reputable and secure origins, Fortinet noted.
A szervezeteknek biztosítaniuk kell az alapszintet is kiberbiztonsági képzés A bejegyzés szerint munkatársaiknak segítik előmozdítani a helyzetfelismerést a jelenlegi fenyegetettségről, valamint megtanulják az alapvető kiberbiztonsági fogalmakat és technológiát. Ez segít elkerülni azokat a forgatókönyveket, amikor az alkalmazottak rosszindulatú fájlokat töltenek le a vállalati környezetbe.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cyberattacks-data-breaches/weaponized-youtube-channels-spread-lumma-stealer
- :van
- :is
- $ UP
- 2022
- 8
- a
- Rólunk
- kísért
- Szerint
- Fiók
- megszerzése
- hirdetések
- tanácsos
- Után
- AI
- cél
- Minden termék
- Is
- mindig
- an
- elemző
- és a
- bármilyen
- készülékek
- Alkalmazás
- alkalmazások
- mesterséges
- mesterséges intelligencia
- Mesterséges intelligencia (AI)
- AS
- At
- támadás
- Autodesk
- elkerülése érdekében
- tudatosság
- vissza
- csali
- alapvető
- BE
- óta
- Jobb
- Óvakodik
- Blokk
- Blog
- böngésző
- épült
- de
- by
- kéri
- Kampány
- TUD
- óvatosság
- csatorna
- csatornák
- ellenőrzése
- Ellenőrzések
- kettyenés
- hogyan
- kitöltésével
- kompromisszum
- fogalmak
- kapcsolat
- tartalom
- tovább
- Társasági
- kijavítására
- repedt
- reccsenés
- kidolgozott
- Hitelesítő adatok
- kritikus
- Jelenlegi
- Kiberbiztonság
- sötét
- Sötét web
- dátum
- szállít
- részletek
- Érzékelés
- közvetlen
- felfedezett
- terjeszteni
- letöltés
- letöltések
- tucat
- Korábban
- Hatékony
- hatékonyan
- Beágyaz
- munkavállaló
- alkalmazottak
- biztosítására
- Környezet
- környezetek
- Eter (ETH)
- kikerülni
- végrehajtás
- Gyakorol
- kiszűrés
- kilép
- kiterjesztések
- Funkció
- jellegű
- filé
- Fájlok
- Szűrők
- utolsó
- A
- Fortinet
- ból ből
- funkció
- GitHub
- Nő
- Útmutatók
- hacker
- Legyen
- segít
- Hogyan
- How To
- azonban
- HTTPS
- if
- in
- tartalmaz
- beleértve
- magában foglalja a
- Beleértve
- amely magában foglalja
- jelzi
- mutatók
- fertőzés
- információ
- telepíteni
- telepítés
- helyette
- Intelligencia
- Szándék
- bele
- meghívni
- behívja
- IT
- ITS
- január
- jpg
- táj
- keresztnév
- indított
- elindítja
- vezet
- TANUL
- jogos
- Tőkeáttétel
- Engedély
- mint
- lin
- Lista
- rakodó
- terhelések
- gép
- rosszindulatú
- malware
- március
- megjelölt
- max
- módszer
- esetleg
- több
- háló
- Új
- következő
- neves
- szám
- tárgy
- megfigyelt
- of
- gyakran
- on
- egyszer
- nyitva
- nyílt forráskódú
- or
- származás
- Más
- Egyéb
- másképp
- tulajdonú
- Emberek (People)
- photoshop
- emelvény
- Platformok
- Plató
- Platón adatintelligencia
- PlatoData
- Népszerű
- állás
- PowerShell
- magán
- bevétel
- folyamat
- Program
- Programok
- kellene támogatnia,
- szabadalmazott
- ad
- közzétett
- elérése
- kap
- tekintettel
- szabályos
- összefüggő
- raktár
- jó hírű
- forrás
- felelős
- s
- Mondott
- homokozó
- vizsgál
- forgatókönyvek
- forgatókönyv
- biztonság
- biztonság
- küld
- idősebb
- érzékeny
- szerver
- szerverek
- szolgálja
- Szolgáltatások
- Szettek
- Megosztás
- megosztott
- ő
- rövidített
- kellene
- hasonló
- óta
- weboldal
- szoftver
- forrás
- Források
- terjedése
- terjedés
- Kenhető
- Színpad
- kezdődik
- Állami
- Lépés
- lopott
- felfüggesztett
- rendszer
- célok
- technikák
- Technológia
- Telegram
- mint
- hogy
- A
- azok
- Őket
- Ezek
- ők
- ezt
- idén
- fenyegetés
- tippek
- nak nek
- szerszám
- átmenet
- oktatóanyagok
- kettő
- jellemzően
- Végül
- homályos
- frissítve
- Frissítés
- feltöltve
- Feltöltés
- használ
- használt
- használó
- Felhasználók
- segítségével
- érték
- Változat
- különféle
- változat
- keresztül
- áldozatok
- Videók
- Tényleges
- háló
- JÓL
- voltak
- ami
- Vadon
- lesz
- val vel
- nélkül
- írt
- év
- youtube
- zephyrnet
- Postai irányítószám