Angripare har spridit en variant av Lumma Stealer via Youtube kanaler som har innehåll relaterat till att knäcka populära applikationer, undviker webbfilter genom att använda plattformar med öppen källkod som GitHub och MediaFire istället för proprietära skadliga servrar för att distribuera skadlig programvara.
Forskare vid FortiGuard sa att kampanjen är liknar en attack upptäckte i mars förra året som använde artificiell intelligens (AI) för att sprida steg-för-steg tutorials om hur man installerar program som Photoshop, Autodesk 3ds Max, AutoCAD och andra utan licens.
"Dessa YouTube-videor innehåller vanligtvis innehåll relaterat till knäckta applikationer, som presenterar användarna med liknande installationsguider och innehåller skadliga webbadresser som ofta förkortas med tjänster som TinyURL och Cuttly," skrev Cara Lin, senioranalytiker i Fortinet. i ett blogginlägg publicerad 8 januari av Fortinet.
Länkar som delas i videorna använder länkförkortningstjänster som TinyURL och Cuttly, och leder till direkt nedladdning av en ny, privat .NET-lastare som ansvarar för att hämta den sista skadliga programvaran, Lumma Stealer, skrev hon.
luma inriktar sig på känslig information, inklusive användaruppgifter, systemdetaljer, webbläsardata och tillägg. Skadlig programvara har visats på annonser på Dark Web och en Telegram-kanal sedan 2022, med mer än ett dussin kommando-och-kontrollservrar i det vilda och flera uppdateringar, enligt Fortinet.
Hur Lumma Stealer Attack fungerar
Attacken börjar med att en hackare bryter mot ett YouTube-konto och laddar upp videor som utger sig för att dela tips om knäckt programvara, tillsammans med beskrivningar av videorna som bäddar in skadliga webbadresser. Beskrivningarna uppmanar också användarna att ladda ner en .ZIP-fil som innehåller skadligt innehåll.
Videorna som observerats av Fortinet laddades upp tidigare i år; filerna på fildelningssidan får dock regelbundna uppdateringar, och antalet nedladdningar fortsätter att växa, vilket tyder på att kampanjen når offer. "Detta indikerar att ZIP-filen alltid är ny och att den här metoden effektivt sprider skadlig programvara", skrev Lin.
.ZIP-filen innehåller en .LNK-fil som anropar PowerShell för att ladda ner en .NET-exekveringsfil via GitHub-förvaret "New" som ägs av John1323456. De andra två förråden, "LNK" och "LNK-Ex", inkluderar också .NET-lastare och spridning av Lumma som den slutliga nyttolasten.
"Den skapade installations-.ZIP-filen fungerar som ett effektivt lockbete för att leverera nyttolasten, utnyttjar användarens avsikt att installera programmet och uppmanar dem att klicka på installationsfilen utan att tveka", skrev Lin.
.NET-lastaren fördunklas med SmartAssembly, ett legitimt obfuskeringsverktyg. Laddaren fortsätter genom att förvärva systemets miljövärde och, när numret på data är korrekt, laddar den PowerShell-skriptet. Annars avslutar processen programmet.
YouTube Skadlig programvara undandragande och försiktighet
Skadlig programvara är byggd för att undvika upptäckt: ProcessStartInfo-objektet startar PowerShell-processen som i slutändan anropar en DLL-fil för nästa steg av attacken, som skannar dess miljö med olika tekniker för att undvika upptäckt. Denna process inkluderar kontroll av felsökningar; säkerhetsanordningar eller sandlådor; virtuella maskiner; och andra tjänster eller filer som kan blockera en skadlig process.
”Efter att ha slutfört alla miljökontroller dekrypterar programmet resursdata och anropar 'SuspendThread; funktion”, skrev Lin. "Denna funktion används för att överföra tråden till ett "upphängt" tillstånd, ett avgörande steg i processen för insprutning av nyttolast."
När den väl har lanserats kommer nyttolasten, luma, kommunicerar med kommando-och-kontrollservern (C2) och upprättar en anslutning för att skicka tillbaka komprimerad stulen data till angripare. Varianten som används i kampanjen är markerad som version 4.0, men har uppdaterat sin exfiltrering för att utnyttja HTTPS för att bättre undvika upptäckt, noterade Lin.
Däremot kan infektion spåras. Fortinet inkluderade en lista över kompromissindikatorer (IoCs) i inlägget och rådde användarna att vara försiktiga med "otydliga applikationskällor." Om människor strävar efter att ladda ner applikationer från YouTube eller någon annan plattform, bör de se till att de kommer från välrenommerade och säkra ursprung, noterade Fortinet.
Organisationer bör också tillhandahålla grundläggande utbildning i cybersäkerhet till sina anställda för att främja situationsmedvetenhet om det nuvarande hotlandskapet, samt lära sig grundläggande cybersäkerhetskoncept och teknik, enligt inlägget. Detta kommer att hjälpa till att undvika scenarier där anställda laddar ner skadliga filer till företagsmiljöer.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/cyberattacks-data-breaches/weaponized-youtube-channels-spread-lumma-stealer
- : har
- :är
- $UPP
- 2022
- 8
- a
- Om oss
- åtföljas
- Enligt
- Konto
- förvärvande
- annonser
- rådde
- Efter
- AI
- Syftet
- Alla
- också
- alltid
- an
- analytiker
- och
- vilken som helst
- apparater
- Ansökan
- tillämpningar
- konstgjord
- artificiell intelligens
- Konstgjord intelligens (AI)
- AS
- At
- attackera
- Autodesk
- undvika
- medvetenhet
- tillbaka
- bete
- grundläggande
- BE
- varit
- Bättre
- Akta sig
- Blockera
- Blogg
- webbläsare
- byggt
- men
- by
- Samtal
- Kampanj
- KAN
- försiktighet
- Kanal
- kanaler
- kontroll
- Kontroller
- klick
- komma
- fullborda
- kompromiss
- Begreppen
- anslutning
- innehåll
- fortsätter
- Företag
- korrekt
- knäckt
- sprickbildning
- tillverkad
- referenser
- avgörande
- Aktuella
- Cybersäkerhet
- mörkt
- mörk Web
- datum
- leverera
- detaljer
- Detektering
- rikta
- upptäckt
- distribuera
- ladda ner
- Nedladdningar
- dussin
- Tidigare
- Effektiv
- effektivt
- embed
- anställd
- anställda
- säkerställa
- Miljö
- miljöer
- Eter (ETH)
- undgå
- utförande
- Motionera
- exfiltrering
- exits
- förlängningar
- Leverans
- skisserat
- Fil
- Filer
- filter
- slutlig
- För
- Fortinet
- från
- fungera
- GitHub
- Väx
- Guider
- Hackaren
- Har
- hjälpa
- Hur ser din drömresa ut
- How To
- Men
- HTTPS
- if
- in
- innefattar
- ingår
- innefattar
- Inklusive
- införlivande
- pekar på
- indikatorer
- infektion
- informationen
- installera
- Installationen
- istället
- Intelligens
- Avsikt
- in
- bjuda in
- anropar
- IT
- DESS
- jan
- jpg
- liggande
- Efternamn
- lanserades
- lanserar
- leda
- LÄRA SIG
- legitim
- Hävstång
- Licens
- tycka om
- Lin
- Lista
- Lastaren
- laster
- Maskiner
- skadlig
- malware
- Mars
- markant
- max
- metod
- kanske
- mer
- netto
- Nya
- Nästa
- noterade
- antal
- objektet
- observerad
- of
- Ofta
- on
- gång
- öppet
- öppen källkod
- or
- ursprung
- Övriga
- Övrigt
- annat
- ägd
- Personer
- photoshop
- plattform
- Plattformar
- plato
- Platon Data Intelligence
- PlatonData
- Populära
- Inlägg
- Power
- privat
- vinning
- process
- Program
- Program
- främja
- proprietary
- ge
- publicerade
- nå
- motta
- om
- regelbunden
- relaterad
- Repository
- ansedda
- resurs
- ansvarig
- s
- Nämnda
- sandlådor
- skannar
- scenarier
- skript
- säkra
- säkerhet
- sända
- senior
- känslig
- server
- servrar
- serverar
- Tjänster
- uppsättningar
- Dela
- delas
- hon
- förkortas
- skall
- liknande
- eftersom
- webbplats
- Mjukvara
- Källa
- Källor
- spridning
- Spridning
- Sprider
- Etapp
- startar
- Ange
- Steg
- stulna
- suspenderades
- system
- mål
- tekniker
- Teknologi
- Telegram
- än
- den där
- Smakämnen
- deras
- Dem
- Dessa
- de
- detta
- i år
- hot
- Tips
- till
- verktyg
- övergång
- självstudiekurser
- två
- typiskt
- Ytterst
- oklar
- uppdaterad
- Uppdateringar
- uppladdad
- uppladdning
- användning
- Begagnade
- Användare
- användare
- med hjälp av
- värde
- Variant
- olika
- version
- via
- offer
- Video
- Virtuell
- webb
- VÄL
- były
- som
- Vild
- kommer
- med
- utan
- skrev
- år
- Youtube
- zephyrnet
- Postnummer