Napadalci širijo različico Lumma Stealer prek YouTube kanali, ki prikazujejo vsebino, povezano z razbijanjem priljubljenih aplikacij, ki se izmikajo spletnim filtrom z uporabo odprtokodnih platform, kot sta GitHub in MediaFire, namesto lastniških zlonamernih strežnikov za distribucijo zlonamerne programske opreme.
Raziskovalci pri FortiGuardu so povedali, da je kampanja podobno napadu marca lani odkrili, da uporabljajo umetno inteligenco (AI) za širjenje vadnic po korakih o tem, kako brez licence namestiti programe, kot so Photoshop, Autodesk 3ds Max, AutoCAD in drugi.
"Ti videoposnetki v YouTubu običajno vsebujejo vsebino, povezano z vlomljenimi aplikacijami, uporabnikom ponujajo podobna navodila za namestitev in vključujejo zlonamerne URL-je, ki so pogosto skrajšani s storitvami, kot sta TinyURL in Cuttly," je zapisala Cara Lin, višja analitika Fortineta v blog post objavil Fortinet 8. januarja.
Povezave v videoposnetkih uporabljajo storitve za krajšanje povezav, kot sta TinyURL in Cuttly, in vodijo do neposrednega prenosa novega zasebnega nalagalnika .NET, ki je odgovoren za pridobivanje končne zlonamerne programske opreme, Lumma Stealer, je zapisala.
luma cilja na občutljive podatke, vključno s poverilnicami uporabnika, sistemskimi podrobnostmi, podatki brskalnika in razširitvami. Zlonamerna programska oprema je od leta 2022 predstavljena v oglasih na temnem spletu in kanalu Telegram, z več kot ducatom ukazno-nadzornih strežnikov v naravi in več posodobitev, poroča Fortinet.
Kako deluje napad Lumma Stealer
Napad se začne s hekerjem, ki vdre v račun YouTube in naloži videoposnetke, ki naj bi delili nasvete o vdrti programski opremi, skupaj z opisi videoposnetkov, ki vsebujejo zlonamerne URL-je. Opisi tudi vabijo uporabnike k prenosu datoteke .ZIP, ki vključuje zlonamerno vsebino.
Videoposnetki, ki jih je opazil Fortinet, so bili naloženi v začetku tega leta; vendar se datoteke na spletnem mestu za skupno rabo datotek redno posodabljajo in število prenosov še naprej raste, kar nakazuje, da kampanja dosega žrtve. "To pomeni, da je datoteka ZIP vedno nova in da ta metoda učinkovito širi zlonamerno programsko opremo," je zapisal Lin.
Datoteka .ZIP vključuje datoteko .LNK, ki pokliče PowerShell za prenos izvedbene datoteke .NET prek repozitorija GitHub »Novo« v lasti John1323456. Drugi dve repozitoriji, »LNK« in »LNK-Ex«, prav tako vključujeta nalagalnike .NET in širjenje Lumma kot končni tovor.
»Izdelana namestitvena datoteka .ZIP služi kot učinkovita vaba za dostavo koristnega tovora, pri čemer izkorišča uporabnikovo namero za namestitev aplikacije in jih poziva, da brez oklevanja kliknejo namestitveno datoteko,« je zapisal Lin.
Nalagalnik .NET je zakrit z uporabo SmartAssembly, zakonitega orodja za zakrivanje. Nalagalnik nadaljuje s pridobivanjem vrednosti okolja sistema in, ko je število podatkov pravilno, naloži skript PowerShell. V nasprotnem primeru proces zapusti program.
Izogibanje zlonamerni programski opremi YouTube in previdnost
Zlonamerna programska oprema je zgrajena tako, da se izogne odkrivanju: Objekt ProcessStartInfo zažene proces PowerShell, ki na koncu prikliče datoteko DLL za naslednjo stopnjo napada, ki pregleda svoje okolje z različnimi tehnikami, da se izogne odkrivanju. Ta postopek vključuje preverjanje razhroščevalnikov; varnostne naprave ali peskovniki; virtualni stroji; in druge storitve ali datoteke, ki bi lahko blokirale zlonamerni proces.
»Po zaključku vseh preverjanj okolja program dešifrira podatke o sredstvih in prikliče 'SuspendThread; funkcija,« je zapisal Lin. "Ta funkcija se uporablja za prehod niti v" suspendirano "stanje, kar je ključni korak v procesu vbrizgavanja tovora."
Ko je izstreljen, tovor, luma, komunicira s strežnikom za ukazovanje in nadzor (C2) in vzpostavi povezavo za pošiljanje stisnjenih ukradenih podatkov nazaj napadalcem. Različica, uporabljena v kampanji, je označena kot različica 4.0, vendar je posodobila svojo ekstrakcijo, da izkoristi HTTPS za boljše izogibanje zaznavanju, je opozoril Lin.
Vendar je okužbo mogoče slediti. Fortinet je v objavo vključil seznam indikatorjev ogroženosti (IoC) in uporabnikom svetoval, naj bodo previdni glede »nejasnih virov aplikacij«. Če ljudje želijo prenesti aplikacije z YouTuba ali katere koli druge platforme, morajo zagotoviti, da prihajajo iz uglednih in varnih virov, je opozoril Fortinet.
Organizacije bi morale zagotoviti tudi osnovne usposabljanje za kibernetsko varnost svojim zaposlenim, da spodbujajo ozaveščenost o trenutni pokrajini groženj ter se naučijo osnovnih konceptov in tehnologije kibernetske varnosti, piše v objavi. Tako se boste izognili scenarijem, v katerih zaposleni prenašajo zlonamerne datoteke v okolja podjetij.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/cyberattacks-data-breaches/weaponized-youtube-channels-spread-lumma-stealer
- :ima
- : je
- $GOR
- 2022
- 8
- a
- O meni
- v spremstvu
- Po
- Račun
- pridobitev
- oglasi
- svetuje
- po
- AI
- Cilj
- vsi
- Prav tako
- vedno
- an
- Analitik
- in
- kaj
- aparati
- uporaba
- aplikacije
- umetni
- Umetna inteligenca
- Umetna inteligenca (AI)
- AS
- At
- napad
- Autodesk
- izogniti
- zavest
- nazaj
- vaba
- Osnovni
- BE
- bilo
- Boljše
- pozor
- Block
- Blog
- brskalnik
- zgrajena
- vendar
- by
- poziva
- Akcija
- CAN
- previdnost
- Channel
- kanali
- preverjanje
- Pregledi
- klik
- kako
- dokončanje
- Kompromis
- koncepti
- povezava
- vsebina
- se nadaljuje
- Corporate
- popravi
- razpokan
- pokanje
- izdelana
- Mandatno
- ključnega pomena
- Trenutna
- Cybersecurity
- Temnomodra
- Dark Web
- datum
- poda
- Podrobnosti
- Odkrivanje
- neposredna
- odkril
- distribuirati
- prenesi
- prenosov
- ducata
- prej
- Učinkovito
- učinkovito
- Embed
- zaposleni
- Zaposleni
- zagotovitev
- okolje
- okolja
- Eter (ETH)
- izmikati
- izvedba
- Vaja
- eksfiltracija
- izhodi
- razširitve
- Feature
- izrazit
- file
- datoteke
- Filtri
- končna
- za
- Fortinet
- iz
- funkcija
- GitHub
- Grow
- Vodniki
- heker
- Imajo
- pomoč
- Kako
- Kako
- Vendar
- HTTPS
- if
- in
- vključujejo
- vključeno
- vključuje
- Vključno
- vključujoč
- označuje
- kazalniki
- okužba
- Podatki
- namestitev
- namestitev
- Namesto
- Intelligence
- Namen
- v
- povabi
- prikliče
- IT
- ITS
- John
- jpg
- Pokrajina
- Zadnja
- začela
- izstrelki
- vodi
- UČITE
- legitimno
- Vzvod
- Licenca
- kot
- lin
- Seznam
- nakladač
- obremenitve
- Stroji
- zlonamerno
- zlonamerna programska oprema
- marec
- označeno
- max
- Metoda
- morda
- več
- net
- Novo
- Naslednja
- opozoriti
- Številka
- predmet
- opazovana
- of
- pogosto
- on
- enkrat
- odprite
- open source
- or
- Začetki
- Ostalo
- drugi
- drugače
- v lasti
- ljudje
- photoshop
- platforma
- Platforme
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Popular
- Prispevek
- PowerShell
- zasebna
- izkupiček
- Postopek
- Program
- programi
- spodbujanje
- lastniško
- zagotavljajo
- objavljeno
- dosegli
- prejeti
- o
- redni
- povezane
- Skladišče
- ugledne
- vir
- odgovorna
- s
- Je dejal
- peskovniki
- skenira
- scenariji
- script
- zavarovanje
- varnost
- pošljite
- višji
- občutljiva
- strežnik
- strežniki
- služi
- Storitve
- Kompleti
- Delite s prijatelji, znanci, družino in partnerji :-)
- deli
- je
- skrajšana
- shouldnt
- Podoben
- saj
- spletna stran
- Software
- vir
- Viri
- namaz
- širjenje
- Razmiki
- Stage
- začne
- Država
- Korak
- ukradeno
- prekinjena
- sistem
- Cilji
- tehnike
- Tehnologija
- Telegram
- kot
- da
- O
- njihove
- Njih
- te
- jih
- ta
- letos
- Grožnja
- nasveti
- do
- orodje
- Prehod
- vaje
- dva
- tipično
- Konec koncev
- nejasno
- posodobljeno
- posodobitve
- naložili
- Prenos
- uporaba
- Rabljeni
- uporabnik
- Uporabniki
- uporabo
- vrednost
- Variant
- različnih
- različica
- preko
- žrtve
- Video posnetki
- Virtual
- web
- Dobro
- so bili
- ki
- Wild
- bo
- z
- brez
- Napisal
- leto
- youtube
- zefirnet
- Zip