Angripere har spredt en variant av Lumma Stealer via YouTube kanaler som har innhold relatert til cracking av populære applikasjoner, og unngår webfiltre ved å bruke åpen kildekode-plattformer som GitHub og MediaFire i stedet for proprietære ondsinnede servere for å distribuere skadelig programvare.
Forskere ved FortiGuard sa at kampanjen er ligner på et angrep oppdaget i mars i fjor som brukte kunstig intelligens (AI) for å spre trinnvise veiledninger om hvordan du installerer programmer som Photoshop, Autodesk 3ds Max, AutoCAD og andre uten lisens.
"Disse YouTube-videoene har vanligvis innhold relatert til crackte applikasjoner, og presenterer brukere for lignende installasjonsveiledninger og inneholder ondsinnede URL-er som ofte er forkortet med tjenester som TinyURL og Cuttly," skrev Cara Lin, senioranalytiker i Fortinet. i et blogginnlegg utgitt 8. januar av Fortinet.
Lenker som deles i videoene bruker lenkeforkortende tjenester som TinyURL og Cuttly, og fører til direkte nedlasting av en ny, privat .NET-laster som er ansvarlig for å hente den siste skadelige programvaren, Lumma Stealer, skrev hun.
luma retter seg mot sensitiv informasjon, inkludert brukerlegitimasjon, systemdetaljer, nettleserdata og utvidelser. Skadevaren har vært omtalt i annonser på Dark Web og en Telegram-kanal siden 2022, med mer enn et dusin kommando-og-kontrollservere i naturen og flere oppdateringer, ifølge Fortinet.
Hvordan Lumma Stealer-angrepet fungerer
Angrepet starter med at en hacker bryter en YouTube-konto og laster opp videoer som utgir seg for å dele tips om sprukket programvare, ledsaget av beskrivelser av videoene som inneholder ondsinnede nettadresser. Beskrivelsene inviterer også brukerne til å laste ned en .ZIP-fil som inneholder skadelig innhold.
Videoene som ble observert av Fortinet ble lastet opp tidligere i år; filene på fildelingssiden mottar imidlertid regelmessige oppdateringer, og antallet nedlastinger fortsetter å vokse, noe som tyder på at kampanjen når ut til ofre. "Dette indikerer at ZIP-filen alltid er ny og at denne metoden effektivt sprer skadelig programvare," skrev Lin.
.ZIP-filen inkluderer en .LNK-fil som kaller PowerShell for å laste ned en .NET-kjøringsfil via GitHub-depotet "New" eid av John1323456. De to andre depotene, "LNK" og "LNK-Ex," inkluderer også .NET-lastere og spredt Lumma som den endelige nyttelasten.
"Den lagde installasjons-.ZIP-filen fungerer som et effektivt lokkemiddel for å levere nyttelasten, utnytter brukerens intensjon om å installere programmet og ber dem klikke på installasjonsfilen uten å nøle," skrev Lin.
.NET-lasteren tilsløres ved hjelp av SmartAssembly, et legitimt obfuskeringsverktøy. Lasteren fortsetter ved å anskaffe systemets miljøverdi, og når nummeret på dataene er riktig, laster den PowerShell-skriptet. Ellers avslutter prosessen programmet.
YouTube Unngåelse av skadelig programvare og forsiktighet
Skadevaren er bygget for å unngå oppdagelse: ProcessStartInfo-objektet starter PowerShell-prosessen som til slutt starter en DLL-fil for neste trinn av angrepet, som skanner miljøet ved hjelp av ulike teknikker for å unngå oppdagelse. Denne prosessen inkluderer å se etter feilsøkere; sikkerhetsapparater eller sandkasser; virtuelle maskiner; og andre tjenester eller filer som kan blokkere en ondsinnet prosess.
"Etter å ha fullført alle miljøsjekker, dekrypterer programmet ressursdataene og påkaller "SuspendThread; funksjon," skrev Lin. "Denne funksjonen brukes til å overføre tråden til en "suspendert" tilstand, et avgjørende trinn i prosessen med nyttelastinjeksjon."
Når den er lansert, vil nyttelasten, luma, kommuniserer med kommando-og-kontroll-serveren (C2) og setter opp en tilkobling for å sende komprimerte stjålne data tilbake til angripere. Varianten som ble brukt i kampanjen er merket som versjon 4.0, men har oppdatert eksfiltreringen for å utnytte HTTPS for bedre å unngå gjenkjenning, bemerket Lin.
Imidlertid kan infeksjon spores. Fortinet inkluderte en liste over indikatorer på kompromiss (IoCs) i innlegget, og rådet brukerne til å utvise forsiktighet angående "uklare applikasjonskilder." Hvis folk tar sikte på å laste ned applikasjoner fra YouTube eller en annen plattform, bør de sørge for at de kommer fra anerkjente og sikre opphav, bemerket Fortinet.
Organisasjoner bør også gi grunnleggende opplæring i nettsikkerhet til sine ansatte for å fremme situasjonsbevissthet om det nåværende trussellandskapet, samt lære grunnleggende cybersikkerhetskonsepter og teknologi, ifølge innlegget. Dette vil bidra til å unngå scenarier der ansatte laster ned skadelige filer til bedriftsmiljøer.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/cyberattacks-data-breaches/weaponized-youtube-channels-spread-lumma-stealer
- : har
- :er
- $OPP
- 2022
- 8
- a
- Om oss
- ledsaget
- Ifølge
- Logg inn
- anskaffe
- annonser
- rådes
- Etter
- AI
- sikte
- Alle
- også
- alltid
- an
- analytiker
- og
- noen
- hvitevarer
- Søknad
- søknader
- kunstig
- kunstig intelligens
- Kunstig intelligens (AI)
- AS
- At
- angripe
- Autodesk
- unngå
- bevissthet
- tilbake
- agn
- grunnleggende
- BE
- vært
- Bedre
- Beware
- Blokker
- Blogg
- nett~~POS=TRUNC leseren~~POS=HEADCOMP
- bygget
- men
- by
- Samtaler
- Kampanje
- CAN
- forsiktighet
- Kanal
- kanaler
- kontroll
- Sjekker
- klikk
- Kom
- fullført
- kompromiss
- konsepter
- tilkobling
- innhold
- fortsetter
- Bedriftens
- korrigere
- sprukket
- cracking
- utformet
- Credentials
- avgjørende
- Gjeldende
- Cybersecurity
- mørk
- mørk Web
- dato
- leverer
- detaljer
- Gjenkjenning
- direkte
- oppdaget
- distribuere
- nedlasting
- nedlastinger
- dusin
- Tidligere
- Effektiv
- effektivt
- embed
- ansatt
- ansatte
- sikre
- Miljø
- miljøer
- Eter (ETH)
- unngå
- gjennomføring
- Øvelse
- eksfiltrering
- utganger
- utvidelser
- Trekk
- kjennetegnet
- filet
- Filer
- filtre
- slutt~~POS=TRUNC
- Til
- Fortinet
- fra
- funksjon
- GitHub
- Grow
- Guider
- hacker
- Ha
- hjelpe
- Hvordan
- Hvordan
- Men
- HTTPS
- if
- in
- inkludere
- inkludert
- inkluderer
- Inkludert
- innlemme
- indikerer
- indikatorer
- infeksjon
- informasjon
- installere
- installasjon
- i stedet
- Intelligens
- Intensjon
- inn
- invitere
- påkaller
- IT
- DET ER
- jan
- jpg
- landskap
- Siste
- lansert
- lanseringer
- føre
- LÆRE
- legitim
- Leverage
- Tillatelse
- i likhet med
- lin
- Liste
- loader
- laster
- maskiner
- skadelig
- malware
- Mars
- merket
- max
- metode
- kunne
- mer
- nett
- Ny
- neste
- bemerket
- Antall
- objekt
- observerte
- of
- ofte
- on
- gang
- åpen
- åpen kildekode
- or
- opprinnelse
- Annen
- andre
- ellers
- eide
- Ansatte
- photoshop
- plattform
- Plattformer
- plato
- Platon Data Intelligence
- PlatonData
- Populær
- Post
- PowerShell
- privat
- fortsetter
- prosess
- program
- programmer
- fremme
- proprietær
- gi
- publisert
- nå
- motta
- om
- regelmessig
- i slekt
- Repository
- hederlig
- ressurs
- ansvarlig
- s
- Sa
- Sandkasser
- skanner
- scenarier
- script
- sikre
- sikkerhet
- send
- senior
- sensitive
- server
- servere
- serverer
- Tjenester
- sett
- Del
- delt
- hun
- forkortet
- bør
- lignende
- siden
- nettstedet
- Software
- kilde
- Kilder
- spre
- sprer
- Sprer
- Scene
- starter
- Tilstand
- Trinn
- stjålet
- suspendert
- system
- mål
- teknikker
- Teknologi
- Telegram
- enn
- Det
- De
- deres
- Dem
- Disse
- de
- denne
- dette året
- trussel
- tips
- til
- verktøy
- overgang
- tutorials
- to
- typisk
- Til syvende og sist
- uklar
- oppdatert
- oppdateringer
- lastet opp
- Opplasting
- bruke
- brukt
- Bruker
- Brukere
- ved hjelp av
- verdi
- variant
- ulike
- versjon
- av
- ofre
- videoer
- virtuelle
- web
- VI VIL
- var
- hvilken
- Wild
- vil
- med
- uten
- skrev
- år
- youtube
- zephyrnet
- Zip