Atakujący rozprzestrzeniają za pośrednictwem wariantu Lumma Stealer YouTube kanały zawierające treści związane z łamaniem popularnych aplikacji, wymykające się filtrom sieciowym i wykorzystujące platformy open source, takie jak GitHub i MediaFire, zamiast zastrzeżonych złośliwych serwerów do dystrybucji złośliwego oprogramowania.
Badacze z FortiGuard twierdzą, że kampania tak podobne do ataku odkrył w marcu ubiegłego roku, że wykorzystuje sztuczną inteligencję (AI) do rozpowszechniania samouczków krok po kroku dotyczących instalowania programów takich jak Photoshop, Autodesk 3ds Max, AutoCAD i innych bez licencji.
„Te filmy na YouTube zazwyczaj zawierają treści związane z zhakowanymi aplikacjami, przedstawiają użytkownikom podobne instrukcje instalacji i zawierają złośliwe adresy URL, często skracane za pomocą usług takich jak TinyURL i Cuttly” – napisała Cara Lin, starszy analityk Fortinet. w blogu opublikowany 8 stycznia przez Fortinet.
Linki udostępniane w filmach korzystają z usług skracania linków, takich jak TinyURL i Cuttly, i prowadzą do bezpośredniego pobrania nowego, prywatnego modułu ładującego .NET odpowiedzialnego za pobranie ostatecznej wersji szkodliwego oprogramowania, Lumma Stealer – napisała.
Lumma obiera za cel poufne informacje, w tym dane uwierzytelniające użytkownika, szczegóły systemu, dane przeglądarki i rozszerzenia. Szkodnik ten pojawia się w reklamach w ciemnej sieci i na kanale Telegram od 2022 r., na którym znajduje się kilkanaście serwerów dowodzenia i kontroli na wolności i wiele aktualizacji– podaje Fortinet.
Jak działa atak złodzieja Lummy
Atak rozpoczyna się od włamania się hakera na konto YouTube i przesłania filmów, które mają udostępniać wskazówki dotyczące złamanego oprogramowania, wraz z opisami filmów zawierających złośliwe adresy URL. Opisy zachęcają również użytkowników do pobrania pliku .ZIP zawierającego złośliwą zawartość.
Filmy zaobserwowane przez Fortinet zostały przesłane na początku tego roku; jednakże pliki w witrynie umożliwiającej udostępnianie plików są regularnie aktualizowane, a liczba pobrań stale rośnie, co sugeruje, że kampania dociera do ofiar. „To oznacza, że plik ZIP jest zawsze nowy i że ta metoda skutecznie rozprzestrzenia złośliwe oprogramowanie” – napisał Lin.
Plik .ZIP zawiera plik .LNK, który wywołuje PowerShell w celu pobrania pliku wykonawczego .NET za pośrednictwem repozytorium GitHub „New”, którego właścicielem jest John1323456. Pozostałe dwa repozytoria, „LNK” i „LNK-Ex”, również zawierają moduły ładujące .NET i rozprzestrzeniają Lummę jako ostateczny ładunek.
„Spreparowany plik instalacyjny .ZIP stanowi skuteczną przynętę do dostarczenia ładunku, wykorzystując zamiar użytkownika dotyczący zainstalowania aplikacji i zachęcając go do bez wahania kliknięcia pliku instalacyjnego” – napisał Lin.
Moduł ładujący .NET jest zaciemniany przy użyciu SmartAssembly, legalnego narzędzia do zaciemniania. Program ładujący pobiera wartość środowiska systemu i, gdy liczba danych jest prawidłowa, ładuje skrypt PowerShell. W przeciwnym razie proces kończy działanie programu.
Unikanie złośliwego oprogramowania YouTube i ostrożność
Szkodnik jest zbudowany tak, aby uniknąć wykrycia: Obiekt ProcessStartInfo uruchamia proces PowerShell, który ostatecznie wywołuje plik DLL na potrzeby następnego etapu ataku, który skanuje otoczenie przy użyciu różnych technik w celu uniknięcia wykrycia. Proces ten obejmuje sprawdzanie debugerów; urządzenia zabezpieczające lub piaskownice; wirtualne maszyny; oraz inne usługi lub pliki, które mogą blokować złośliwy proces.
„Po zakończeniu wszystkich kontroli środowiska program odszyfrowuje dane zasobów i wywołuje funkcję „SuspendThread; funkcję” – napisała Lin. „Ta funkcja służy do przejścia wątku w stan „zawieszenia”, co jest kluczowym krokiem w procesie wstrzykiwania ładunku”.
Po uruchomieniu ładunek, Lumma, komunikuje się z serwerem dowodzenia i kontroli (C2) i ustanawia połączenie w celu przesłania skompresowanych, skradzionych danych z powrotem do atakujących. Lin zauważył, że wariant wykorzystany w kampanii jest oznaczony jako wersja 4.0, ale zaktualizował funkcję eksfiltracji, aby wykorzystać protokół HTTPS w celu lepszego uniknięcia wykrycia.
Można jednak śledzić infekcję. Fortinet zamieścił w poście listę wskaźników kompromisu (IoC) i zalecił użytkownikom zachowanie ostrożności w związku z „niejasnymi źródłami aplikacji”. Jeśli ludzie chcą pobierać aplikacje z YouTube lub jakiejkolwiek innej platformy, powinni upewnić się, że pochodzą one z renomowanych i bezpiecznych źródeł, zauważył Fortinet.
Organizacje powinny również zapewnić podstawowe szkolenie z zakresu cyberbezpieczeństwa jak napisano w poście, swoim pracownikom w celu promowania świadomości sytuacyjnej na temat obecnego krajobrazu zagrożeń, a także poznania podstawowych koncepcji i technologii cyberbezpieczeństwa. Pomoże to uniknąć scenariuszy, w których pracownicy pobierają złośliwe pliki do środowisk korporacyjnych.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/cyberattacks-data-breaches/weaponized-youtube-channels-spread-lumma-stealer
- :ma
- :Jest
- $W GÓRĘ
- 2022
- 8
- a
- O nas
- towarzyszy
- Stosownie
- Konto
- nabywanie
- Reklamy
- rozmyślny
- Po
- AI
- zmierzać
- Wszystkie kategorie
- również
- zawsze
- an
- analityk
- i
- każdy
- Urządzenia
- Zastosowanie
- aplikacje
- sztuczny
- sztuczna inteligencja
- Sztuczna inteligencja (AI)
- AS
- At
- atakować
- autodesk
- uniknąć
- świadomość
- z powrotem
- przynęta
- podstawowy
- BE
- być
- Ulepsz Swój
- Strzec się
- Blokować
- Blog
- przeglądarka
- wybudowany
- ale
- by
- Połączenia
- Kampania
- CAN
- ostrożność
- Kanał
- kanały
- kontrola
- Wykrywanie urządzeń szpiegujących
- kliknij
- jak
- wypełniając
- kompromis
- Koncepcje
- połączenie
- zawartość
- ciągły
- Korporacyjny
- skorygowania
- pęknięty
- świetny
- wykonane
- Listy uwierzytelniające
- istotny
- Aktualny
- Bezpieczeństwo cybernetyczne
- Ciemny
- Mroczny WWW
- dane
- dostarczyć
- detale
- Wykrywanie
- kierować
- odkryty
- rozprowadzać
- pobieranie
- pliki do pobrania
- tuzin
- Wcześniej
- Efektywne
- faktycznie
- osadzać
- zatrudniony
- pracowników
- zapewnić
- Środowisko
- środowiska
- Eter (ETH)
- uchylać się
- egzekucja
- Ćwiczenie
- eksfiltracja
- wychodzi
- rozszerzenia
- Cecha
- polecane
- filet
- Akta
- filtry
- finał
- W razie zamówieenia projektu
- Fortinet
- od
- funkcjonować
- GitHub
- Rosnąć
- Przewodniki
- haker
- Have
- pomoc
- W jaki sposób
- How To
- Jednak
- HTTPS
- if
- in
- zawierać
- włączony
- obejmuje
- Włącznie z
- włączenie
- wskazuje
- wskaźniki
- infekcja
- Informacja
- zainstalować
- instalacja
- zamiast
- Inteligencja
- Zamiar
- najnowszych
- zapraszać
- inwokuje
- IT
- JEGO
- Styczeń
- jpg
- krajobraz
- Nazwisko
- uruchomiona
- uruchamia
- prowadzić
- UCZYĆ SIĘ
- prawowity
- Dźwignia
- Licencja
- lubić
- lin
- Lista
- ładowarka
- masa
- maszyny
- złośliwy
- malware
- March
- wyraźny
- max
- metoda
- może
- jeszcze
- netto
- Nowości
- Następny
- zauważyć
- numer
- przedmiot
- zauważony
- of
- często
- on
- pewnego razu
- koncepcja
- open source
- or
- Początki
- Inne
- Pozostałe
- Inaczej
- własność
- Ludzie
- photoshop
- Platforma
- Platformy
- plato
- Analiza danych Platona
- PlatoDane
- Popularny
- Post
- PowerShell
- prywatny
- dochód
- wygląda tak
- Program
- Programy
- promować
- własność
- zapewniać
- opublikowany
- osiągnięcie
- otrzymać
- w sprawie
- regularny
- związane z
- składnica
- renomowany
- Zasób
- odpowiedzialny
- s
- Powiedział
- piaskownice
- skany
- scenariusze
- scenariusz
- bezpieczne
- bezpieczeństwo
- wysłać
- senior
- wrażliwy
- serwer
- serwery
- służy
- Usługi
- Zestawy
- Share
- shared
- ona
- skrócony
- powinien
- podobny
- ponieważ
- witryna internetowa
- Tworzenie
- Źródło
- Źródła
- rozpiętość
- Rozpościerający się
- Spready
- STAGE
- rozpocznie
- Stan
- Ewolucja krok po kroku
- skradziony
- zawieszony
- system
- cele
- Techniki
- Technologia
- Telegram
- niż
- że
- Połączenia
- ich
- Im
- Te
- one
- to
- w tym roku
- groźba
- wskazówki
- do
- narzędzie
- przejście
- tutoriale
- drugiej
- zazwyczaj
- Ostatecznie
- niejasny
- zaktualizowane
- Nowości
- przesłanych
- Uploading
- posługiwać się
- używany
- Użytkownik
- Użytkownicy
- za pomocą
- wartość
- Wariant
- różnorodny
- wersja
- przez
- Ofiary
- Filmy
- Wirtualny
- sieć
- DOBRZE
- były
- który
- Dziki
- będzie
- w
- bez
- napisał
- rok
- youtube
- zefirnet
- Zamek błyskawiczny