Зловмисники поширювали варіант Lumma Stealer через YouTube канали, які містять вміст, пов’язаний зі зломом популярних програм, уникаючи веб-фільтрів, використовуючи платформи з відкритим кодом, такі як GitHub і MediaFire, замість власних шкідливих серверів для розповсюдження шкідливого програмного забезпечення.
Дослідники FortiGuard заявили, що кампанія є схожий на напад Минулого березня виявили, що використовують штучний інтелект (ШІ) для поширення покрокових інструкцій щодо встановлення таких програм, як Photoshop, Autodesk 3ds Max, AutoCAD та інших, без ліцензії.
«Ці відео YouTube зазвичай містять вміст, пов’язаний зі зламаними програмами, надаючи користувачам схожі посібники зі встановлення та містять шкідливі URL-адреси, які часто скорочуються за допомогою таких служб, як TinyURL і Cuttly», — написала Кара Лін, старший аналітик Fortinet. у своєму блозі опубліковано 8 січня Fortinet.
Посилання у відео використовують служби скорочення посилань, такі як TinyURL і Cuttly, і ведуть до прямого завантаження нового приватного завантажувача .NET, відповідального за отримання остаточного шкідливого програмного забезпечення, Lumma Stealer, написала вона.
Лумма націлено на конфіденційну інформацію, включаючи облікові дані користувача, відомості про систему, дані браузера та розширення. Зловмисне програмне забезпечення з’являлося в рекламі в темній мережі та каналі Telegram з 2022 року, де існує більше десятка командно-контрольних серверів і кілька оновлень, повідомляє Fortinet.
Як працює атака Lumma Stealer
Атака починається з того, що хакер зламує обліковий запис YouTube і завантажує відео, які нібито дають поради щодо зламаного програмного забезпечення, а також описи відео, які містять шкідливі URL-адреси. Описи також пропонують користувачам завантажити файл .ZIP, який містить шкідливий вміст.
Відео, які спостерігав Fortinet, були завантажені на початку цього року; однак файли на файлообмінному сайті регулярно оновлюються, а кількість завантажень продовжує зростати, що свідчить про те, що кампанія досягає жертв. «Це вказує на те, що ZIP-файл завжди новий і що цей метод ефективно поширює зловмисне програмне забезпечення», — написав Лін.
Файл .ZIP містить файл .LNK, який викликає PowerShell для завантаження файлу виконання .NET через репозиторій GitHub «New», який належить John1323456. Інші два репозиторії, «LNK» і «LNK-Ex», також містять завантажувачі .NET і розповсюдження Lumma як остаточне корисне навантаження.
«Створений інсталяційний файл .ZIP служить ефективною приманкою для доставки корисного навантаження, використовуючи намір користувача встановити програму та спонукаючи його без вагань натиснути інсталяційний файл», — написав Лін.
Завантажувач .NET обфускатоване за допомогою SmartAssembly, законного інструменту обфускації. Завантажувач продовжує, отримуючи значення середовища системи, і, коли кількість даних правильна, він завантажує сценарій PowerShell. В іншому випадку процес завершить роботу програми.
Ухилення від зловмисного програмного забезпечення YouTube і обережність
Зловмисне програмне забезпечення створено, щоб уникнути виявлення: об’єкт ProcessStartInfo запускає процес PowerShell, який зрештою викликає DLL-файл для наступного етапу атаки, яка сканує своє середовище за допомогою різних методів, щоб уникнути виявлення. Цей процес включає перевірку налагоджувачів; засоби безпеки або пісочниці; віртуальні машини; та інші служби або файли, які можуть блокувати зловмисний процес.
«Після завершення всіх перевірок середовища програма розшифровує дані ресурсу та викликає «SuspendThread; функція», — написав Лін. «Ця функція використовується для переходу потоку в «призупинений» стан, що є важливим кроком у процесі введення корисного навантаження».
Після запуску корисне навантаження, Лумма, зв’язується з командно-контрольним сервером (C2) і встановлює з’єднання для надсилання стиснутих викрадених даних назад зловмисникам. Варіант, який використовується в кампанії, позначений як версія 4.0, але оновив свою ексфільтрацію, щоб використовувати HTTPS, щоб краще уникнути виявлення, зазначив Лін.
Однак зараження можна відстежити. Fortinet включив у публікацію список індикаторів компрометації (IoC) і порадив користувачам бути обережними щодо «незрозумілих джерел додатків». Якщо люди хочуть завантажувати програми з YouTube або будь-якої іншої платформи, вони повинні переконатися, що вони надходять із надійних і безпечних джерел, зазначив Fortinet.
Організації також повинні надавати базові навчання з кібербезпеки Згідно з дописом, своїм співробітникам сприяти ситуаційній обізнаності про поточний ландшафт загроз, а також вивчати основні концепції та технології кібербезпеки. Це допоможе уникнути сценаріїв, за яких співробітники завантажують шкідливі файли в корпоративне середовище.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cyberattacks-data-breaches/weaponized-youtube-channels-spread-lumma-stealer
- : має
- :є
- $UP
- 2022
- 8
- a
- МЕНЮ
- супроводжується
- За
- рахунки
- придбання
- оголошення
- порадив
- після
- AI
- мета
- ВСІ
- Також
- завжди
- an
- аналітик
- та
- будь-який
- техніка
- додаток
- застосування
- штучний
- штучний інтелект
- Штучний інтелект (AI)
- AS
- At
- атака
- Autodesk
- уникнути
- обізнаність
- назад
- bait
- основний
- BE
- було
- Краще
- Остерігатися
- Блокувати
- Блог
- браузер
- побудований
- але
- by
- Виклики
- Кампанія
- CAN
- обережність
- Канал
- канали
- контроль
- Перевірки
- клацання
- Приходити
- завершення
- компроміс
- поняття
- зв'язку
- зміст
- триває
- Корпоративний
- виправити
- тріщини
- Розтріскування
- створений
- Повноваження
- вирішальне значення
- Поточний
- Кібербезпека
- темно
- Dark Web
- дані
- доставляти
- деталі
- Виявлення
- прямий
- відкритий
- поширювати
- скачати
- завантажень
- дюжина
- Раніше
- Ефективний
- фактично
- Вставляти
- працевлаштований
- співробітників
- забезпечувати
- Навколишнє середовище
- середовищах
- Ефір (ETH)
- Втеча
- виконання
- Здійснювати
- ексфільтрація
- виходи
- Розширення
- особливість
- ознаками
- філе
- Файли
- Фільтри
- остаточний
- для
- Fortinet
- від
- функція
- GitHub
- Рости
- Гід
- хакер
- Мати
- допомога
- Як
- How To
- Однак
- HTTPS
- if
- in
- включати
- включені
- includes
- У тому числі
- включення
- вказує
- індикатори
- інфекція
- інформація
- встановлювати
- установка
- замість
- Інтелект
- Намір
- в
- запрошувати
- викликає
- IT
- ЙОГО
- січень
- JPG
- ландшафт
- останній
- запущений
- запуски
- вести
- УЧИТЬСЯ
- законний
- Важіль
- ліцензія
- як
- лін
- список
- завантажувач
- вантажі
- Машинки для перманенту
- malicious
- шкідливих програм
- березня
- позначено
- Макс
- метод
- може бути
- більше
- мережу
- Нові
- наступний
- зазначив,
- номер
- об'єкт
- спостерігається
- of
- часто
- on
- один раз
- відкрити
- з відкритим вихідним кодом
- or
- походження
- Інше
- інші
- інакше
- яка перебуває у власності
- Люди
- фотошоп
- платформа
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- популярний
- пошта
- PowerShell
- приватний
- надходження
- процес
- програма
- програми
- сприяти
- власником
- забезпечувати
- опублікований
- досягнення
- отримати
- про
- регулярний
- пов'язаний
- Сховище
- шановний
- ресурс
- відповідальний
- s
- Зазначений
- пісочниці
- сканування
- сценарії
- сценарій
- безпечний
- безпеку
- послати
- старший
- чутливий
- сервер
- сервери
- служить
- Послуги
- набори
- Поділитись
- загальні
- вона
- укорочений
- Повинен
- аналогічний
- з
- сайт
- Софтвер
- Source
- Джерела
- поширення
- Поширення
- Спреди
- Стажування
- починається
- стан
- Крок
- вкрали
- підвісний
- система
- цілі
- методи
- Технологія
- Telegram
- ніж
- Що
- Команда
- їх
- Їх
- Ці
- вони
- це
- У цьому році
- загроза
- Поради
- до
- інструмент
- перехід
- навчальні посібники
- два
- типово
- Зрештою
- незрозуміло
- оновлений
- Updates
- завантажено
- Завантаження
- використання
- використовуваний
- користувач
- користувачі
- використання
- значення
- варіант
- різний
- версія
- через
- жертви
- Відео
- Віртуальний
- Web
- ДОБРЕ
- були
- який
- Wild
- волі
- з
- без
- пише
- рік
- YouTube
- зефірнет
- Zip