Aanvallers verspreiden een variant van de Lumma Stealer via YouTube kanalen die inhoud bevatten die verband houdt met het kraken van populaire applicaties, waarbij webfilters worden omzeild door gebruik te maken van open source-platforms zoals GitHub en MediaFire in plaats van eigen kwaadaardige servers om de malware te verspreiden.
Onderzoekers van FortiGuard zeiden dat de campagne dat wel is vergelijkbaar met een aanval ontdekte afgelopen maart dat kunstmatige intelligentie (AI) werd gebruikt om stapsgewijze tutorials te verspreiden over hoe je programma's als Photoshop, Autodesk 3ds Max, AutoCAD en andere zonder licentie kunt installeren.
“Deze YouTube-video’s bevatten doorgaans inhoud die verband houdt met gekraakte applicaties, waarbij gebruikers vergelijkbare installatiehandleidingen krijgen en kwaadaardige URL’s zijn opgenomen die vaak zijn afgekort met services als TinyURL en Cuttly”, schreef Cara Lin, senior analist van Fortinet. in een blog post gepubliceerd op 8 januari door Fortinet.
Links die in de video's worden gedeeld, maken gebruik van diensten voor het verkorten van links, zoals TinyURL en Cuttly, en leiden tot het direct downloaden van een nieuwe, privé .NET-lader die verantwoordelijk is voor het ophalen van de laatste malware, Lumma Stealer, schreef ze.
luma richt zich op gevoelige informatie, waaronder gebruikersreferenties, systeemdetails, browsergegevens en extensies. De malware is sinds 2022 te zien in advertenties op het Dark Web en een Telegram-kanaal, met meer dan een dozijn command-and-control-servers in het wild en meerdere updates, aldus Fortinet.
Hoe de Lumma Stealer-aanval werkt
De aanval begint met een hacker die inbreuk maakt op een YouTube-account en video's uploadt die beweren tips over gekraakte software te delen, vergezeld van beschrijvingen van de video's waarin kwaadaardige URL's zijn ingesloten. De beschrijvingen nodigen de gebruikers ook uit om een ZIP-bestand te downloaden dat schadelijke inhoud bevat.
De door Fortinet waargenomen video's zijn eerder dit jaar geüpload; De bestanden op de site voor het delen van bestanden worden echter regelmatig bijgewerkt en het aantal downloads blijft groeien, wat erop wijst dat de campagne slachtoffers bereikt. “Dit geeft aan dat het ZIP-bestand altijd nieuw is en dat deze methode effectief malware verspreidt”, schreef Lin.
Het .ZIP-bestand bevat een .LNK-bestand dat PowerShell aanroept om een .NET-uitvoeringsbestand te downloaden via de GitHub-repository "New", eigendom van John1323456. De andere twee repository's, "LNK" en "LNK-Ex", bevatten ook .NET-laders en verspreiden Lumma als de laatste payload.
"Het vervaardigde installatie-.ZIP-bestand dient als een effectief lokaas om de lading af te leveren, waarbij gebruik wordt gemaakt van de intentie van de gebruiker om de applicatie te installeren en hen wordt gevraagd zonder aarzeling op het installatiebestand te klikken", schreef Lin.
De .NET-lader wordt verduisterd met behulp van SmartAssembly, een legitieme verduisteringstool. De lader gaat verder met het verkrijgen van de omgevingswaarde van het systeem en laadt, zodra het aantal gegevens correct is, het PowerShell-script. Anders verlaat het proces het programma.
YouTube-malware-ontduiking en voorzichtigheid
De malware is gebouwd om detectie te voorkomen: het ProcessStartInfo-object start het PowerShell-proces dat uiteindelijk een DLL-bestand aanroept voor de volgende fase van de aanval, dat de omgeving scant met behulp van verschillende technieken om detectie te omzeilen. Dit proces omvat het controleren op debuggers; beveiligingsapparatuur of sandboxen; virtuele machines; en andere services of bestanden die een kwaadaardig proces kunnen blokkeren.
“Nadat alle omgevingscontroles zijn voltooid, decodeert het programma de brongegevens en roept het de 'SuspendThread; functie”, schreef Lin. “Deze functie wordt gebruikt om de draad in een ‘opgeschorte’ staat te brengen, een cruciale stap in het proces van payload-injectie.”
Eenmaal gelanceerd, wordt de lading, luma, communiceert met de command-and-control-server (C2) en zet een verbinding op om gecomprimeerde gestolen gegevens terug te sturen naar aanvallers. De variant die in de campagne wordt gebruikt, is gemarkeerd als versie 4.0, maar heeft de exfiltratie bijgewerkt om HTTPS te gebruiken om detectie beter te omzeilen, merkte Lin op.
De infectie kan echter worden gevolgd. Fortinet heeft een lijst met indicatoren van compromissen (IoC’s) in de post opgenomen en de gebruikers geadviseerd voorzichtig te zijn met betrekking tot ‘onduidelijke applicatiebronnen’. Als mensen applicaties van YouTube of een ander platform willen downloaden, moeten ze ervoor zorgen dat deze van een gerenommeerde en veilige oorsprong komen, aldus Fortinet.
Organisaties moeten ook basisvoorzieningen bieden cyberbeveiligingstraining aan hun werknemers om het situationele bewustzijn over het huidige dreigingslandschap te bevorderen, en om basisconcepten en -technologie voor cyberbeveiliging te leren, aldus de post. Dit helpt scenario's te voorkomen waarin werknemers kwaadaardige bestanden downloaden naar bedrijfsomgevingen.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cyberattacks-data-breaches/weaponized-youtube-channels-spread-lumma-stealer
- : heeft
- :is
- $UP
- 2022
- 8
- a
- Over
- vergezeld
- Volgens
- Account
- verwerven
- advertenties
- adviseerde
- Na
- AI
- streven
- Alles
- ook
- altijd
- an
- analist
- en
- elke
- huishoudelijke apparaten
- Aanvraag
- toepassingen
- kunstmatig
- kunstmatige intelligentie
- Kunstmatige intelligentie (AI)
- AS
- At
- aanvallen
- Autodesk
- vermijd
- bewustzijn
- terug
- aas
- basis-
- BE
- geweest
- Betere
- Oppassen
- Blok
- Blog
- browser
- bebouwd
- maar
- by
- oproepen
- Campagne
- CAN
- voorzichtigheid
- Kanaal
- kanalen
- controleren
- Controles
- Klik
- hoe
- het invullen van
- compromis
- concepten
- versterken
- content
- blijft
- Bedrijfs-
- te corrigeren
- gebarsten
- kraken
- bewerkte
- Geloofsbrieven
- cruciaal
- Actueel
- Cybersecurity
- Donker
- Dark Web
- gegevens
- leveren
- gegevens
- Opsporing
- directe
- ontdekt
- verdelen
- Download
- downloads
- dozijn
- Vroeger
- effectief
- effectief
- insluiten
- loondienst
- medewerkers
- verzekeren
- Milieu
- omgevingen
- Ether (ETH)
- ontwijken
- uitvoering
- Oefening
- exfiltratie
- exits
- extensies
- Kenmerk
- uitgelicht
- Dien in
- Bestanden
- filters
- finale
- Voor
- Fortinet
- oppompen van
- functie
- GitHub
- Groeien
- Guides
- hacker
- Hebben
- hulp
- Hoe
- How To
- Echter
- HTTPS
- if
- in
- omvatten
- inclusief
- omvat
- Inclusief
- opnemen
- geeft aan
- indicatoren
- infectie
- informatie
- installeren
- installatie
- verkrijgen in plaats daarvan
- Intelligentie
- Bedoeling
- in
- uitnodigt
- oproept
- IT
- HAAR
- jan
- jpg
- Landschap
- Achternaam*
- gelanceerd
- lanceert
- leiden
- LEARN
- rechtmatig
- Hefboomwerking
- Vergunning
- als
- lin
- Lijst
- lader
- ladingen
- Machines
- kwaadaardig
- malware
- Maart
- gemarkeerd
- max
- methode
- macht
- meer
- netto
- New
- volgende
- bekend
- aantal
- object
- opgemerkt
- of
- vaak
- on
- eens
- open
- open source
- or
- oorsprong
- Overige
- Overig
- anders-
- eigendom
- Mensen
- photoshop
- platform
- platforms
- Plato
- Plato gegevensintelligentie
- PlatoData
- Populair
- Post
- PowerShell
- privaat
- opbrengst
- Programma
- Programma's
- promoten
- gepatenteerd
- zorgen voor
- gepubliceerde
- het bereiken van
- ontvangen
- met betrekking tot
- regelmatig
- verwant
- bewaarplaats
- achtenswaardig
- hulpbron
- verantwoordelijk
- s
- Zei
- sandboxes
- scant
- scenario's
- script
- beveiligen
- veiligheid
- sturen
- senior
- gevoelig
- server
- servers
- bedient
- Diensten
- Sets
- Delen
- gedeeld
- ze
- verkort
- moet
- gelijk
- sinds
- website
- Software
- bron
- bronnen
- verspreiden
- verspreiding
- Spreads
- Stadium
- starts
- Land
- Stap voor
- gestolen
- opgeschort
- system
- doelen
- technieken
- Technologie
- Telegram
- neem contact
- dat
- De
- hun
- Ze
- Deze
- ze
- dit
- dit jaar
- bedreiging
- tips
- naar
- tools
- overgang
- tutorials
- twee
- typisch
- Tenslotte
- niet helder
- bijgewerkt
- updates
- geüpload
- Uploaden
- .
- gebruikt
- Gebruiker
- gebruikers
- gebruik
- waarde
- Variant
- divers
- versie
- via
- slachtoffers
- Video's
- Virtueel
- web
- GOED
- waren
- welke
- Wild
- wil
- Met
- zonder
- schreef
- jaar
- youtube
- zephyrnet
- Postcode