Napadalci širijo različico Lumma Stealer prek YouTube kanali, ki prikazujejo vsebino, povezano z razbijanjem priljubljenih aplikacij, ki se izmikajo spletnim filtrom z uporabo odprtokodnih platform, kot sta GitHub in MediaFire, namesto lastniških zlonamernih strežnikov za distribucijo zlonamerne programske opreme.
Raziskovalci pri FortiGuardu so povedali, da je kampanja podobno napadu marca lani odkrili, da uporabljajo umetno inteligenco (AI) za širjenje vadnic po korakih o tem, kako brez licence namestiti programe, kot so Photoshop, Autodesk 3ds Max, AutoCAD in drugi.
“These YouTube videos typically feature content related to cracked applications, presenting users with similar installation guides and incorporating malicious URLs often shortened using services like TinyURL and Cuttly,” Cara Lin, Fortinet senior analyst, wrote v blog post objavil Fortinet 8. januarja.
Povezave v videoposnetkih uporabljajo storitve za krajšanje povezav, kot sta TinyURL in Cuttly, in vodijo do neposrednega prenosa novega zasebnega nalagalnika .NET, ki je odgovoren za pridobivanje končne zlonamerne programske opreme, Lumma Stealer, je zapisala.
luma cilja na občutljive podatke, vključno s poverilnicami uporabnika, sistemskimi podrobnostmi, podatki brskalnika in razširitvami. Zlonamerna programska oprema je od leta 2022 predstavljena v oglasih na temnem spletu in kanalu Telegram, z več kot ducatom ukazno-nadzornih strežnikov v naravi in več posodobitev, poroča Fortinet.
Kako deluje napad Lumma Stealer
Napad se začne s hekerjem, ki vdre v račun YouTube in naloži videoposnetke, ki naj bi delili nasvete o vdrti programski opremi, skupaj z opisi videoposnetkov, ki vsebujejo zlonamerne URL-je. Opisi tudi vabijo uporabnike k prenosu datoteke .ZIP, ki vključuje zlonamerno vsebino.
The videos observed by Fortinet were uploaded earlier this year; however, the files on the file-sharing site receive regular updates, and the number of downloads continues to grow, suggesting that the campaign is reaching victims. “This indicates that the ZIP file is always new and that this method effectively spreads malware,” Lin wrote.
The .ZIP file includes an .LNK file that calls PowerShell to download a .NET execution file via the GitHub repository “New” owned by John1323456. The other two repositories, “LNK” and “LNK-Ex,” also include .NET loaders and spread Lumma as the final payload.
“The crafted installation .ZIP file serves as an effective bait to deliver the payload, exploiting the user’s intention to install the application and prompting them to click the installation file without hesitation,” Lin wrote.
The .NET loader is obfuscated using SmartAssembly, a legitimate obfuscation tool. The loader proceeds by acquiring the system’s environment value and, once the number of the data is correct, it loads the PowerShell script. Otherwise, the process exits the program.
Izogibanje zlonamerni programski opremi YouTube in previdnost
Zlonamerna programska oprema je zgrajena tako, da se izogne odkrivanju: Objekt ProcessStartInfo zažene proces PowerShell, ki na koncu prikliče datoteko DLL za naslednjo stopnjo napada, ki pregleda svoje okolje z različnimi tehnikami, da se izogne odkrivanju. Ta postopek vključuje preverjanje razhroščevalnikov; varnostne naprave ali peskovniki; virtualni stroji; in druge storitve ali datoteke, ki bi lahko blokirale zlonamerni proces.
“After completing all environment checks, the program decrypts the resource data and invokes the ‘SuspendThread; function,” Lin wrote. “This function is employed to transition the thread into a ‘suspended’ state, a crucial step in the process of payload injection.”
Ko je izstreljen, tovor, luma, komunicira s strežnikom za ukazovanje in nadzor (C2) in vzpostavi povezavo za pošiljanje stisnjenih ukradenih podatkov nazaj napadalcem. Različica, uporabljena v kampanji, je označena kot različica 4.0, vendar je posodobila svojo ekstrakcijo, da izkoristi HTTPS za boljše izogibanje zaznavanju, je opozoril Lin.
However, infection can be tracked. Fortinet included a list of indicators of compromise (IoCs) in the post, and advised the users exercise caution regarding “unclear application sources.” If people aim to download applications from YouTube or any other platform, they should ensure they come from reputable and secure origins, Fortinet noted.
Organizacije bi morale zagotoviti tudi osnovne usposabljanje za kibernetsko varnost svojim zaposlenim, da spodbujajo ozaveščenost o trenutni pokrajini groženj ter se naučijo osnovnih konceptov in tehnologije kibernetske varnosti, piše v objavi. Tako se boste izognili scenarijem, v katerih zaposleni prenašajo zlonamerne datoteke v okolja podjetij.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/cyberattacks-data-breaches/weaponized-youtube-channels-spread-lumma-stealer
- :ima
- : je
- $GOR
- 2022
- 8
- a
- O meni
- v spremstvu
- Po
- Račun
- pridobitev
- oglasi
- svetuje
- po
- AI
- Cilj
- vsi
- Prav tako
- vedno
- an
- Analitik
- in
- kaj
- aparati
- uporaba
- aplikacije
- umetni
- Umetna inteligenca
- Umetna inteligenca (AI)
- AS
- At
- napad
- Autodesk
- izogniti
- zavest
- nazaj
- vaba
- Osnovni
- BE
- bilo
- Boljše
- pozor
- Block
- Blog
- brskalnik
- zgrajena
- vendar
- by
- poziva
- Akcija
- CAN
- previdnost
- Channel
- kanali
- preverjanje
- Pregledi
- klik
- kako
- dokončanje
- Kompromis
- koncepti
- povezava
- vsebina
- se nadaljuje
- Corporate
- popravi
- razpokan
- pokanje
- izdelana
- Mandatno
- ključnega pomena
- Trenutna
- Cybersecurity
- Temnomodra
- Dark Web
- datum
- poda
- Podrobnosti
- Odkrivanje
- neposredna
- odkril
- distribuirati
- prenesi
- prenosov
- ducata
- prej
- Učinkovito
- učinkovito
- Embed
- zaposleni
- Zaposleni
- zagotovitev
- okolje
- okolja
- Eter (ETH)
- izmikati
- izvedba
- Vaja
- eksfiltracija
- izhodi
- razširitve
- Feature
- izrazit
- file
- datoteke
- Filtri
- končna
- za
- Fortinet
- iz
- funkcija
- GitHub
- Grow
- Vodniki
- heker
- Imajo
- pomoč
- Kako
- Kako
- Vendar
- HTTPS
- if
- in
- vključujejo
- vključeno
- vključuje
- Vključno
- vključujoč
- označuje
- kazalniki
- okužba
- Podatki
- namestitev
- namestitev
- Namesto
- Intelligence
- Namen
- v
- povabi
- prikliče
- IT
- ITS
- John
- jpg
- Pokrajina
- Zadnja
- začela
- izstrelki
- vodi
- UČITE
- legitimno
- Vzvod
- Licenca
- kot
- lin
- Seznam
- nakladač
- obremenitve
- Stroji
- zlonamerno
- zlonamerna programska oprema
- marec
- označeno
- max
- Metoda
- morda
- več
- net
- Novo
- Naslednja
- opozoriti
- Številka
- predmet
- opazovana
- of
- pogosto
- on
- enkrat
- odprite
- open source
- or
- Začetki
- Ostalo
- drugi
- drugače
- v lasti
- ljudje
- photoshop
- platforma
- Platforme
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Popular
- Prispevek
- PowerShell
- zasebna
- izkupiček
- Postopek
- Program
- programi
- spodbujanje
- lastniško
- zagotavljajo
- objavljeno
- dosegli
- prejeti
- o
- redni
- povezane
- Skladišče
- ugledne
- vir
- odgovorna
- s
- Je dejal
- peskovniki
- skenira
- scenariji
- script
- zavarovanje
- varnost
- pošljite
- višji
- občutljiva
- strežnik
- strežniki
- služi
- Storitve
- Kompleti
- Delite s prijatelji, znanci, družino in partnerji :-)
- deli
- je
- skrajšana
- shouldnt
- Podoben
- saj
- spletna stran
- Software
- vir
- Viri
- namaz
- širjenje
- Razmiki
- Stage
- začne
- Država
- Korak
- ukradeno
- prekinjena
- sistem
- Cilji
- tehnike
- Tehnologija
- Telegram
- kot
- da
- O
- njihove
- Njih
- te
- jih
- ta
- letos
- Grožnja
- nasveti
- do
- orodje
- Prehod
- vaje
- dva
- tipično
- Konec koncev
- nejasno
- posodobljeno
- posodobitve
- naložili
- Prenos
- uporaba
- Rabljeni
- uporabnik
- Uporabniki
- uporabo
- vrednost
- Variant
- različnih
- različica
- preko
- žrtve
- Video posnetki
- Virtual
- web
- Dobro
- so bili
- ki
- Wild
- bo
- z
- brez
- Napisal
- leto
- youtube
- zefirnet
- Zip