Những kẻ tấn công đã phát tán một biến thể của Lumma Stealer thông qua YouTube các kênh có nội dung liên quan đến việc bẻ khóa các ứng dụng phổ biến, trốn tránh các bộ lọc Web bằng cách sử dụng các nền tảng nguồn mở như GitHub và MediaFire thay vì các máy chủ độc quyền độc quyền để phát tán phần mềm độc hại.
Các nhà nghiên cứu tại FortiGuard cho biết chiến dịch này là tương tự như một cuộc tấn công được phát hiện vào tháng 3 năm ngoái đã sử dụng trí tuệ nhân tạo (AI) để truyền bá các hướng dẫn từng bước về cách cài đặt các chương trình như Photoshop, Autodesk XNUMXds Max, AutoCAD và các chương trình khác mà không cần giấy phép.
“These YouTube videos typically feature content related to cracked applications, presenting users with similar installation guides and incorporating malicious URLs often shortened using services like TinyURL and Cuttly,” Cara Lin, Fortinet senior analyst, wrote trong một bài đăng blog được Fortinet xuất bản ngày 8 tháng XNUMX.
Cô viết, các liên kết được chia sẻ trong video sử dụng các dịch vụ rút ngắn liên kết như TinyURL và Cuttly, đồng thời dẫn đến việc tải xuống trực tiếp một trình tải .NET mới, riêng tư, chịu trách nhiệm tìm nạp phần mềm độc hại cuối cùng, Lumma Stealer.
người già nhắm mục tiêu thông tin nhạy cảm, bao gồm thông tin xác thực của người dùng, chi tiết hệ thống, dữ liệu trình duyệt và tiện ích mở rộng. Phần mềm độc hại này đã xuất hiện trên các quảng cáo trên Dark Web và kênh Telegram kể từ năm 2022, với hơn chục máy chủ ra lệnh và kiểm soát đang hoạt động. nhiều bản cập nhật, theo Fortinet.
Cuộc tấn công của kẻ đánh cắp Lumma hoạt động như thế nào
Cuộc tấn công bắt đầu bằng việc tin tặc xâm nhập tài khoản YouTube và tải lên các video có mục đích chia sẻ mẹo về phần mềm bẻ khóa, kèm theo mô tả về các video có nhúng URL độc hại. Các mô tả cũng mời người dùng tải xuống tệp .ZIP có chứa nội dung độc hại.
The videos observed by Fortinet were uploaded earlier this year; however, the files on the file-sharing site receive regular updates, and the number of downloads continues to grow, suggesting that the campaign is reaching victims. “This indicates that the ZIP file is always new and that this method effectively spreads malware,” Lin wrote.
The .ZIP file includes an .LNK file that calls PowerShell to download a .NET execution file via the GitHub repository “New” owned by John1323456. The other two repositories, “LNK” and “LNK-Ex,” also include .NET loaders and spread Lumma as the final payload.
“The crafted installation .ZIP file serves as an effective bait to deliver the payload, exploiting the user’s intention to install the application and prompting them to click the installation file without hesitation,” Lin wrote.
The .NET loader is obfuscated using SmartAssembly, a legitimate obfuscation tool. The loader proceeds by acquiring the system’s environment value and, once the number of the data is correct, it loads the PowerShell script. Otherwise, the process exits the program.
Phòng tránh và cảnh báo phần mềm độc hại trên YouTube
Phần mềm độc hại được xây dựng để tránh bị phát hiện: Đối tượng ProcessStartInfo khởi chạy quy trình PowerShell, quy trình này cuối cùng gọi tệp DLL cho giai đoạn tấn công tiếp theo, quét môi trường của nó bằng nhiều kỹ thuật khác nhau để tránh bị phát hiện. Quá trình này bao gồm việc kiểm tra trình gỡ lỗi; thiết bị an ninh hoặc hộp cát; máy ảo; và các dịch vụ hoặc tệp khác có thể chặn một quy trình độc hại.
“After completing all environment checks, the program decrypts the resource data and invokes the ‘SuspendThread; function,” Lin wrote. “This function is employed to transition the thread into a ‘suspended’ state, a crucial step in the process of payload injection.”
Sau khi được khởi chạy, tải trọng, người già, liên lạc với máy chủ ra lệnh và kiểm soát (C2) và thiết lập kết nối để gửi lại dữ liệu đã nén bị đánh cắp cho kẻ tấn công. Lin lưu ý rằng biến thể được sử dụng trong chiến dịch được đánh dấu là phiên bản 4.0, nhưng đã cập nhật khả năng lọc để tận dụng HTTPS nhằm tránh bị phát hiện tốt hơn.
However, infection can be tracked. Fortinet included a list of indicators of compromise (IoCs) in the post, and advised the users exercise caution regarding “unclear application sources.” If people aim to download applications from YouTube or any other platform, they should ensure they come from reputable and secure origins, Fortinet noted.
Các tổ chức cũng nên cung cấp những thông tin cơ bản đào tạo an ninh mạng theo bài đăng, cho nhân viên của họ để nâng cao nhận thức tình huống về bối cảnh mối đe dọa hiện tại, cũng như tìm hiểu các khái niệm và công nghệ an ninh mạng cơ bản. Điều này sẽ giúp tránh các tình huống trong đó nhân viên tải các tệp độc hại xuống môi trường công ty.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cyberattacks-data-breaches/weaponized-youtube-channels-spread-lumma-stealer
- : có
- :là
- $ LÊN
- 2022
- 8
- a
- Giới thiệu
- đi cùng
- Theo
- Tài khoản
- có được
- quảng cáo
- khuyên
- Sau
- AI
- nhằm mục đích
- Tất cả
- Ngoài ra
- luôn luôn
- an
- phân tích
- và
- bất kì
- thiết bị
- Các Ứng Dụng
- các ứng dụng
- nhân tạo
- trí tuệ nhân tạo
- Trí tuệ nhân tạo (AI)
- AS
- At
- tấn công
- Autodesk
- tránh
- nhận thức
- trở lại
- mồi
- cơ bản
- BE
- được
- Hơn
- Hãy coi chừng
- Chặn
- Blog
- trình duyệt
- xây dựng
- nhưng
- by
- Cuộc gọi
- Chiến dịch
- CAN
- thận trọng
- Kênh
- kênh
- kiểm tra
- Séc
- Nhấp chuột
- Đến
- hoàn thành
- thỏa hiệp
- khái niệm
- liên quan
- nội dung
- liên tiếp
- Doanh nghiệp
- sửa chữa
- nứt
- sự nứt
- chế tạo
- Credentials
- quan trọng
- Current
- An ninh mạng
- tối
- Web tối
- dữ liệu
- cung cấp
- chi tiết
- Phát hiện
- trực tiếp
- phát hiện
- phân phát
- tải về
- Tải xuống
- hàng chục
- Sớm hơn
- Hiệu quả
- hiệu quả
- nhúng
- việc làm
- nhân viên
- đảm bảo
- Môi trường
- môi trường
- Ether (ETH)
- trốn tránh
- thực hiện
- Tập thể dục
- sự lọc ra
- lối thoát hiểm
- mở rộng
- Đặc tính
- đặc sắc
- Tập tin
- Các tập tin
- bộ lọc
- cuối cùng
- Trong
- Fortinet
- từ
- chức năng
- GitHub
- Phát triển
- Hướng dẫn
- của hacker
- Có
- giúp đỡ
- Độ đáng tin của
- Hướng dẫn
- Tuy nhiên
- HTTPS
- if
- in
- bao gồm
- bao gồm
- bao gồm
- Bao gồm
- kết hợp
- chỉ
- Các chỉ số
- nhiễm trùng
- thông tin
- cài đặt, dựng lên
- cài đặt
- thay vì
- Sự thông minh
- Ý định
- trong
- mời
- viện dẫn
- IT
- ITS
- Tháng
- jpg
- cảnh quan
- Họ
- phát động
- ra mắt
- dẫn
- LEARN
- hợp pháp
- Tỉ lệ đòn bẩy
- Giấy phép
- Lượt thích
- lin
- Danh sách
- loader
- tải
- Máy móc
- độc hại
- phần mềm độc hại
- Tháng Ba
- đánh dấu
- tối đa
- phương pháp
- Might
- chi tiết
- net
- Mới
- tiếp theo
- lưu ý
- con số
- vật
- quan sát
- of
- thường
- on
- hàng loạt
- mở
- mã nguồn mở
- or
- nguồn gốc
- Nền tảng khác
- Khác
- nếu không thì
- sở hữu
- người
- photoshop
- nền tảng
- Nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Phổ biến
- Bài đăng
- PowerShell
- riêng
- tiền thu được
- quá trình
- chương trình
- Khóa Học
- thúc đẩy
- độc quyền
- cho
- công bố
- đạt
- nhận
- về
- đều đặn
- liên quan
- kho
- có uy tín
- tài nguyên
- chịu trách nhiệm
- s
- Nói
- hộp cát
- quét
- kịch bản
- kịch bản
- an toàn
- an ninh
- gửi
- cao cấp
- nhạy cảm
- máy chủ
- máy chủ
- phục vụ
- DỊCH VỤ
- bộ
- Chia sẻ
- chia sẻ
- chị ấy
- rút ngắn
- nên
- tương tự
- kể từ khi
- website
- Phần mềm
- nguồn
- nguồn
- lan tràn
- lan rộng
- Lây lan
- Traineeship
- bắt đầu
- Tiểu bang
- Bước
- ăn cắp
- đình chỉ
- hệ thống
- mục tiêu
- kỹ thuật
- Công nghệ
- Telegram
- hơn
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- Kia là
- họ
- điều này
- năm nay
- mối đe dọa
- lời khuyên
- đến
- công cụ
- quá trình chuyển đổi
- hướng dẫn
- hai
- thường
- Cuối cùng
- không rõ
- cập nhật
- Cập nhật
- tải lên
- Đang tải lên
- sử dụng
- đã sử dụng
- người sử dang
- Người sử dụng
- sử dụng
- giá trị
- biến thể
- khác nhau
- phiên bản
- thông qua
- nạn nhân
- Video
- ảo
- web
- TỐT
- là
- cái nào
- Hoang dã
- sẽ
- với
- không có
- đã viết
- năm
- youtube
- zephyrnet
- Zip