Gli aggressori hanno diffuso una variante del Lumma Stealer tramite YouTube canali che presentano contenuti relativi al cracking di applicazioni popolari, eludendo i filtri Web utilizzando piattaforme open source come GitHub e MediaFire invece di server dannosi proprietari per distribuire il malware.
I ricercatori di FortiGuard hanno affermato che la campagna lo è simile ad un attacco ha scoperto lo scorso marzo che utilizzava l'intelligenza artificiale (AI) per diffondere tutorial passo passo su come installare programmi come Photoshop, Autodesk 3ds Max, AutoCAD e altri senza licenza.
"Questi video di YouTube in genere presentano contenuti relativi ad applicazioni crackate, presentando agli utenti guide di installazione simili e incorporando URL dannosi spesso abbreviati utilizzando servizi come TinyURL e Cuttly", ha scritto Cara Lin, analista senior di Fortinet. in un post sul blog pubblicato l'8 gennaio da Fortinet.
I collegamenti condivisi nei video utilizzano servizi di abbreviazione dei collegamenti come TinyURL e Cuttly e portano al download diretto di un nuovo caricatore .NET privato responsabile del recupero del malware finale, Lumma Stealer, ha scritto.
Lumma prende di mira informazioni sensibili, incluse credenziali utente, dettagli di sistema, dati del browser ed estensioni. Il malware è apparso negli annunci sul Dark Web e su un canale Telegram dal 2022, con più di una dozzina di server di comando e controllo in circolazione e più aggiornamenti, secondo Fortinet.
Come funziona l'attacco Lumma Stealer
L'attacco inizia con un hacker che viola un account YouTube e carica video che pretendono di condividere suggerimenti su software crackati, accompagnati da descrizioni dei video che incorporano URL dannosi. Le descrizioni invitano inoltre gli utenti a scaricare un file .ZIP che include contenuti dannosi.
I video osservati da Fortinet sono stati caricati all'inizio di quest'anno; tuttavia, i file sul sito di condivisione file ricevono aggiornamenti regolari e il numero di download continua a crescere, suggerendo che la campagna sta raggiungendo le vittime. "Ciò indica che il file ZIP è sempre nuovo e che questo metodo diffonde efficacemente malware", ha scritto Lin.
Il file .ZIP include un file .LNK che chiama PowerShell per scaricare un file di esecuzione .NET tramite il repository GitHub "Nuovo" di proprietà di John1323456. Gli altri due repository, "LNK" e "LNK-Ex", includono anche caricatori .NET e diffondono Lumma come payload finale.
"Il file .ZIP di installazione creato ad arte funge da esca efficace per consegnare il carico utile, sfruttando l'intenzione dell'utente di installare l'applicazione e spingendolo a fare clic sul file di installazione senza esitazione", ha scritto Lin.
Il caricatore .NET viene offuscato utilizzando SmartAssembly, uno strumento di offuscamento legittimo. Il caricatore procede acquisendo il valore dell'ambiente di sistema e, una volta corretto il numero dei dati, carica lo script PowerShell. Altrimenti il processo esce dal programma.
Evasione e attenzione al malware di YouTube
Il malware è creato per evitare il rilevamento: l'oggetto ProcessStartInfo avvia il processo PowerShell che alla fine richiama un file DLL per la fase successiva dell'attacco, che scansiona il suo ambiente utilizzando varie tecniche per eludere il rilevamento. Questo processo include il controllo dei debugger; apparecchi di sicurezza o sandbox; macchine virtuali; e altri servizi o file che potrebbero bloccare un processo dannoso.
“Dopo aver completato tutti i controlli ambientali, il programma decodifica i dati delle risorse e invoca il comando 'SuspendThread; funzione”, ha scritto Lin. "Questa funzione viene utilizzata per far passare il thread in uno stato 'sospeso', un passaggio cruciale nel processo di iniezione del payload."
Una volta lanciato, il carico utile, Lumma, comunica con il server di comando e controllo (C2) e stabilisce una connessione per inviare indietro i dati compressi rubati agli aggressori. La variante utilizzata nella campagna è contrassegnata come versione 4.0, ma ha aggiornato la sua esfiltrazione per sfruttare HTTPS ed eludere meglio il rilevamento, ha osservato Lin.
Tuttavia, l’infezione può essere monitorata. Fortinet ha incluso nel post un elenco di indicatori di compromissione (IoC) e ha consigliato agli utenti di prestare attenzione alle "fonti applicative poco chiare". Se le persone intendono scaricare applicazioni da YouTube o da qualsiasi altra piattaforma, dovrebbero assicurarsi che provengano da origini affidabili e sicure, ha osservato Fortinet.
Le organizzazioni dovrebbero anche fornire servizi di base formazione sulla sicurezza informatica ai propri dipendenti per promuovere la consapevolezza situazionale sull'attuale panorama delle minacce, nonché apprendere i concetti e la tecnologia di base della sicurezza informatica, secondo il post. Ciò contribuirà a evitare scenari in cui i dipendenti scaricano file dannosi negli ambienti aziendali.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cyberattacks-data-breaches/weaponized-youtube-channels-spread-lumma-stealer
- :ha
- :È
- $ SU
- 2022
- 8
- a
- WRI
- accompagnati
- Secondo
- Il mio account
- l'acquisizione di
- Ads - Annunci
- consigliato
- Dopo shavasana, sedersi in silenzio; saluti;
- AI
- puntare
- Tutti
- anche
- sempre
- an
- analista
- ed
- in qualsiasi
- elettrodomestici
- Applicazioni
- applicazioni
- artificiale
- intelligenza artificiale
- Intelligenza artificiale (AI)
- AS
- At
- attacco
- autodesk
- evitare
- consapevolezza
- precedente
- esca
- basic
- BE
- stato
- Meglio
- Guardarsi da
- Bloccare
- Blog
- del browser
- costruito
- ma
- by
- Bandi
- Campagna
- Materiale
- cautela
- canale
- canali
- verifica
- Controlli
- clicca
- Venire
- completando
- compromesso
- concetti
- veloce
- contenuto
- continua
- Aziende
- correggere
- screpolato
- screpolatura
- artigianale
- Credenziali
- cruciale
- Corrente
- Cybersecurity
- Scuro
- Web Scuro
- dati
- consegnare
- dettagli
- rivelazione
- dirette
- scoperto
- distribuire
- scaricare
- download
- dozzina
- In precedenza
- Efficace
- in maniera efficace
- incastrare
- occupato
- dipendenti
- garantire
- Ambiente
- ambienti
- Etere (ETH)
- Evade
- esecuzione
- Esercitare
- esfiltrazione
- uscite
- estensioni
- caratteristica
- In primo piano
- Compila il
- File
- filtri
- finale
- Nel
- Fortinet
- da
- function
- GitHub
- Crescere
- Guide
- degli hacker
- Avere
- Aiuto
- Come
- Tutorial
- Tuttavia
- HTTPS
- if
- in
- includere
- incluso
- inclusi
- Compreso
- incorporando
- indica
- infezione
- informazioni
- install
- installazione
- invece
- Intelligence
- Intenzione
- ai miglioramenti
- invitare
- invoca
- IT
- SUO
- Gen
- jpg
- paesaggio
- Cognome
- lanciato
- lancia
- portare
- IMPARARE
- legittimo
- Leva
- Licenza
- piace
- lin
- Lista
- caricatore
- carichi
- macchine
- maligno
- il malware
- Marzo
- segnato
- max
- metodo
- forza
- Scopri di più
- rete
- New
- GENERAZIONE
- noto
- numero
- oggetto
- osservato
- of
- di frequente
- on
- una volta
- aprire
- open source
- or
- origini
- Altro
- Altri
- altrimenti
- Di proprietà
- Persone
- photoshop
- piattaforma
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- Popolare
- Post
- PowerShell
- un bagno
- ricavo
- processi
- Programma
- Programmi
- promuoverlo
- proprio
- fornire
- pubblicato
- raggiungendo
- ricevere
- per quanto riguarda
- Basic
- relazionato
- deposito
- rispettabile
- risorsa
- responsabile
- s
- Suddetto
- sandbox
- scansioni
- Scenari
- copione
- sicuro
- problemi di
- inviare
- anziano
- delicata
- server
- server
- serve
- Servizi
- Set
- Condividi
- condiviso
- lei
- accorciato
- dovrebbero
- simile
- da
- site
- Software
- Fonte
- fonti
- diffondere
- Diffondere
- spread
- Stage
- inizio
- Regione / Stato
- step
- rubare
- sospeso
- sistema
- obiettivi
- tecniche
- Tecnologia
- Telegram
- di
- che
- Il
- loro
- Li
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- questo
- quest'anno
- minaccia
- suggerimenti
- a
- transizione
- esercitazioni
- seconda
- tipicamente
- in definitiva
- non chiaro
- aggiornato
- Aggiornamenti
- caricato
- Caricamento
- uso
- utilizzato
- Utente
- utenti
- utilizzando
- APPREZZIAMO
- Variante
- vario
- versione
- via
- vittime
- Video
- virtuale
- sito web
- WELL
- sono stati
- quale
- Selvaggio
- volere
- con
- senza
- ha scritto
- anno
- youtube
- zefiro
- Codice postale