攻撃者は、Lumma Stealer の亜種を次の方法で拡散しています。 YouTube マルウェアを配布する独自の悪意のあるサーバーの代わりに、GitHub や MediaFire などのオープンソース プラットフォームを使用することで、人気のあるアプリケーションのクラッキングに関連するコンテンツを扱うチャネルが Web フィルターを回避します。
フォーティガードの研究者らは、このキャンペーンは 攻撃に似たもの は昨年 3 月に、人工知能 (AI) を使用して、Photoshop、Autodesk XNUMXds Max、AutoCAD などのプログラムをライセンスなしでインストールする方法に関する段階的なチュートリアルを広めていることを発見しました。
「これらの YouTube ビデオは通常、クラックされたアプリケーションに関連するコンテンツを特集しており、同様のインストール ガイドをユーザーに提示し、TinyURL や Cuttly などのサービスを使用して短縮された悪意のある URL を組み込んでいることがよくあります」とフォーティネットのシニア アナリスト、カーラ リンは書いています。 ブログの記事で フォーティネットによって 8 月 XNUMX 日に公開されました。
ビデオ内で共有されているリンクは、TinyURL や Cuttly などのリンク短縮サービスを使用しており、最終的なマルウェアである Lumma Stealer を取得する役割を担う新しいプライベート .NET ローダーの直接ダウンロードにつながると彼女は書いています。
ルマ ユーザーの認証情報、システムの詳細、ブラウザのデータ、拡張機能などの機密情報が対象となります。このマルウェアは 2022 年以降、ダークウェブと Telegram チャネル上の広告で取り上げられており、十数台のコマンドアンドコントロール サーバーが世に出ており、 複数のアップデート、フォーティネットによると。
Lumma Stealer 攻撃の仕組み
この攻撃は、ハッカーが YouTube アカウントに侵入し、悪意のある URL が埋め込まれたビデオの説明を添えて、クラックされたソフトウェアに関するヒントを共有すると称するビデオをアップロードすることから始まります。また、この説明では、悪意のあるコンテンツを含む .ZIP ファイルをダウンロードするようユーザーに促しています。
フォーティネットが観察したビデオは、今年初めにアップロードされました。ただし、ファイル共有サイト上のファイルは定期的に更新されており、ダウンロード数は増え続けており、このキャンペーンが被害者に届いていることを示唆しています。 「これは、ZIP ファイルが常に新しいこと、そしてこの方法がマルウェアを効果的に拡散することを示しています」と Lin 氏は書いています。
.ZIP ファイルには、PowerShell を呼び出して、John1323456 が所有する GitHub リポジトリ「New」経由で .NET 実行ファイルをダウンロードする .LNK ファイルが含まれています。他の XNUMX つのリポジトリ「LNK」と「LNK-Ex」にも .NET ローダーが含まれており、最終ペイロードとして Lumma が拡散されます。
「細工されたインストール .ZIP ファイルは、ペイロードを配信するための効果的なおとりとして機能し、アプリケーションをインストールするというユーザーの意図を利用して、ためらうことなくインストール ファイルをクリックするよう促します」と Lin 氏は書いています。
.NET ローダーは、正規の難読化ツールである SmartAssembly を使用して難読化されます。ローダーはシステムの環境値を取得して続行し、データの数が正しいと、PowerShell スクリプトを読み込みます。それ以外の場合、プロセスはプログラムを終了します。
YouTube のマルウェア回避と注意
このマルウェアは検出を回避するように構築されています。ProcessStartInfo オブジェクトは PowerShell プロセスを起動し、最終的に攻撃の次の段階で DLL ファイルを呼び出します。検出を回避するためにさまざまな手法を使用して環境をスキャンします。このプロセスには、デバッガのチェックが含まれます。セキュリティ アプライアンスまたはサンドボックス。仮想マシン。悪意のあるプロセスをブロックする可能性のあるその他のサービスやファイル。
「すべての環境チェックが完了した後、プログラムはリソース データを復号化し、「SuspendThread;」を呼び出します。機能します」とリンは書いた。 「この関数は、スレッドを『一時停止』状態に移行するために使用されます。これは、ペイロード挿入のプロセスにおける重要なステップです。」
発射されると、ペイロードは、 ルマ、コマンドアンドコントロールサーバー (C2) と通信し、盗まれた圧縮データを攻撃者に送り返すための接続を設定します。このキャンペーンで使用された亜種はバージョン 4.0 としてマークされていますが、検出をより適切に回避するために HTTPS を活用するように漏洩が更新されていると Lin 氏は述べています。
ただし、感染は追跡できます。フォーティネットは投稿に侵害の痕跡(IoC)のリストを含め、「不明確なアプリケーションソース」に関して注意を払うようユーザーに勧告した。 YouTube やその他のプラットフォームからアプリケーションをダウンロードしようとする場合、信頼できる安全な発信元からのものであることを確認する必要があるとフォーティネットは述べています。
組織は基本的な機能も提供する必要があります サイバーセキュリティトレーニング 投稿によると、現在の脅威の状況についての状況認識を促進し、基本的なサイバーセキュリティの概念と技術を学ぶよう従業員に呼びかけているという。これにより、従業員が悪意のあるファイルを企業環境にダウンロードするというシナリオを回避できます。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cyberattacks-data-breaches/weaponized-youtube-channels-spread-lumma-stealer
- :持っている
- :は
- $UP
- 2022
- 8
- a
- 私たちについて
- 付随する
- 従った
- 取得
- 広告
- アドバイス
- 後
- AI
- 目指す
- すべて
- また
- 常に
- an
- アナリスト
- および
- どれか
- 家電
- 申し込み
- 人工の
- 人工知能
- 人工知能(AI)
- AS
- At
- 攻撃
- オートデスク
- 避ける
- 認知度
- バック
- 餌
- 基本
- BE
- き
- より良いです
- 用心します
- ブロック
- ブログ
- ブラウザ
- 内蔵
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- コール
- キャンペーン
- 缶
- 注意
- チャネル
- チャンネル
- 点検
- 小切手
- クリック
- 来ます
- 完了
- 妥協
- コンセプト
- 接続
- コンテンツ
- 続ける
- 企業
- 正しい
- ひびの入った
- クラッキング
- 細工された
- Credentials
- 重大な
- 電流プローブ
- サイバーセキュリティ
- 暗いです
- ダークウェブ
- データ
- 配信する
- 細部
- 検出
- 直接
- 発見
- 分配します
- ダウンロード
- ダウンロード
- ダース
- 前
- 効果的な
- 効果的に
- 埋め込みます
- 採用
- 社員
- 確保
- 環境
- 環境
- エーテル(ETH)
- 逃げる
- 実行
- 運動
- 流出
- 終了する
- エクステンション
- 特徴
- 特集
- File
- フィルター
- ファイナル
- フォーティネット
- から
- function
- GitHubの
- 成長する
- ガイド
- ハッカー
- 持ってる
- 助けます
- 認定条件
- How To
- しかしながら
- HTTPS
- if
- in
- include
- 含まれました
- 含ま
- 含めて
- 組み込む
- を示し
- インジケータ
- 感染
- 情報
- install
- インストール
- を取得する必要がある者
- インテリジェンス
- 意図
- に
- 招待
- 呼び出す
- IT
- ITS
- ジョン
- JPG
- 風景
- 姓
- 打ち上げ
- 起動
- つながる
- LEARN
- 正当な
- 活用します
- ライセンス
- ような
- LIN
- リスト
- ローダ
- 負荷
- マシン
- 悪意のある
- マルウェア
- 3月
- マークされた
- マックス
- 方法
- かもしれない
- 他には?
- net
- 新作
- 次の
- 注意
- 数
- オブジェクト
- 観測された
- of
- 頻繁に
- on
- かつて
- 開いた
- オープンソース
- or
- 起源
- その他
- その他
- さもないと
- 所有している
- のワークプ
- フォトショップ
- プラットフォーム
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 人気
- ポスト
- PowerShellの
- プライベート
- 進む
- プロセス
- 演奏曲目
- プログラム
- 推進する
- 所有権
- 提供します
- 公表
- 到達
- 受け取ります
- に対する
- レギュラー
- 関連する
- 倉庫
- 評判の良い
- リソースを追加する。
- 責任
- s
- 前記
- サンドボックス
- スキャン
- シナリオ
- スクリプト
- 安全に
- セキュリティ
- 送信
- シニア
- 敏感な
- サーバ
- 仕える
- サービス
- セット
- シェアする
- shared
- 彼女
- 短縮
- すべき
- 同様の
- から
- ウェブサイト
- ソフトウェア
- ソース
- ソース
- 広がる
- 広がる
- スプレッド
- ステージ
- 開始
- 都道府県
- 手順
- 盗まれました
- サスペンド
- ターゲット
- テクニック
- テクノロジー
- Telegram
- より
- それ
- アプリ環境に合わせて
- それら
- ボーマン
- 彼ら
- この
- 今年
- 脅威
- ヒント
- 〜へ
- ツール
- 遷移
- チュートリアル
- 2
- 一般的に
- 最終的に
- 不明
- 更新しました
- 更新版
- アップロード
- アップロード
- つかいます
- 中古
- ユーザー
- users
- 値
- バリアント
- さまざまな
- バージョン
- 、
- 犠牲者
- 動画
- バーチャル
- ウェブ
- WELL
- した
- which
- ワイルド
- 意志
- 無し
- 書いた
- 年
- ユーチューブ
- ゼファーネット
- 〒