攻击者一直在通过传播 Lumma Stealer 的变种 YouTube 包含与破解流行应用程序相关的内容的频道,通过使用 GitHub 和 MediaFire 等开源平台而不是专有的恶意服务器来分发恶意软件来躲避 Web 过滤器。
FortiGuard 的研究人员表示,该活动是 类似于攻击 去年 3 月发现,该公司利用人工智能 (AI) 传播如何在没有许可证的情况下安装 Photoshop、Autodesk XNUMXds Max、AutoCAD 等程序的分步教程。
Fortinet 高级分析师 Cara Lin 写道:“这些 YouTube 视频通常包含与破解应用程序相关的内容,为用户提供类似的安装指南,并包含经常使用 TinyURL 和 Cuttly 等服务缩短的恶意 URL。” 在一篇博客文章 Fortinet 于 8 月 XNUMX 日发布。
她写道,视频中共享的链接使用 TinyURL 和 Cuttly 等链接缩短服务,并导致直接下载负责获取最终恶意软件 Lumma Stealer 的新的私有 .NET 加载程序。
卢玛 针对敏感信息,包括用户凭据、系统详细信息、浏览器数据和扩展。自 2022 年以来,该恶意软件一直出现在暗网和 Telegram 频道的广告中,有十多个命令和控制服务器 多次更新据 Fortinet 报道。
Lumma Stealer 攻击如何运作
攻击首先是黑客入侵 YouTube 帐户并上传旨在分享破解软件技巧的视频,并附有嵌入恶意 URL 的视频描述。这些描述还邀请用户下载包含恶意内容的 .ZIP 文件。
Fortinet 观察到的视频是在今年早些时候上传的;然而,文件共享网站上的文件会定期更新,并且下载量持续增长,这表明该活动正在影响受害者。 “这表明 ZIP 文件始终是新的,并且这种方法可以有效地传播恶意软件,”Lin 写道。
.ZIP 文件包含一个 .LNK 文件,该文件调用 PowerShell 通过 John1323456 拥有的 GitHub 存储库“New”下载 .NET 执行文件。另外两个存储库“LNK”和“LNK-Ex”也包含 .NET 加载器并传播 Lumma 作为最终有效负载。
“精心设计的安装 .ZIP 文件可以作为传递有效负载的有效诱饵,利用用户安装应用程序的意图并提示他们毫不犹豫地单击安装文件,”Lin 写道。
.NET 加载程序使用合法的混淆工具 SmartAssembly 进行混淆。加载程序通过获取系统的环境值来继续操作,一旦数据数量正确,它就会加载 PowerShell 脚本。否则,进程退出程序。
YouTube 恶意软件规避和警告
该恶意软件旨在避免检测:ProcessStartInfo 对象启动 PowerShell 进程,该进程最终调用 DLL 文件进行下一阶段的攻击,该攻击使用各种技术扫描其环境以逃避检测。此过程包括检查调试器;安全设备或沙箱;虚拟机;以及其他可能阻止恶意进程的服务或文件。
“完成所有环境检查后,程序解密资源数据并调用‘SuspendThread;’功能,”林写道。 “该函数用于将线程转换为‘挂起’状态,这是有效负载注入过程中的关键步骤。”
一旦发射,有效载荷, 卢玛,与命令和控制服务器 (C2) 通信并建立连接以将压缩的被盗数据发送回攻击者。 Lin 指出,该活动中使用的变体被标记为 4.0 版本,但已更新其渗透方式,以利用 HTTPS 更好地逃避检测。
然而,感染是可以追踪的。 Fortinet 在帖子中列出了妥协指标 (IoC),并建议用户对“不明确的应用程序来源”保持谨慎。 Fortinet 指出,如果人们打算从 YouTube 或任何其他平台下载应用程序,他们应该确保它们来自信誉良好且安全的来源。
组织还应提供基本的 网络安全培训 该帖子称,他们的员工可以提高对当前威胁形势的态势感知,并学习基本的网络安全概念和技术。这将有助于避免员工将恶意文件下载到公司环境的情况。
- :具有
- :是
- $UP
- 2022
- 8
- a
- 关于
- 伴随着
- 根据
- 账号管理
- 收购
- 广告
- 建议
- 后
- AI
- 瞄准
- 所有类型
- 还
- 时刻
- an
- 分析人士
- 和
- 任何
- 家电
- 应用领域
- 应用领域
- 人造的
- 人工智能
- 人工智能(AI)
- AS
- At
- 攻击
- 欧特克
- 避免
- 意识
- 背部
- 饵
- 基本包
- BE
- 很
- 更好
- 提防
- 阻止
- 博客
- 浏览器
- 建
- 但是
- by
- 呼叫
- 营销活动
- CAN
- 警告
- 渠道
- 通道
- 检查
- 支票
- 点击
- 如何
- 完成
- 妥协
- 概念
- 地都
- 内容
- 继续
- 公司
- 正确
- 皴
- 开裂
- 精雕细琢
- 资历
- 关键
- 电流
- 网络安全
- 黑暗
- 黑暗的网络
- data
- 交付
- 详情
- 检测
- 直接
- 发现
- 分发
- 下载
- 下载
- 打
- 此前
- 有效
- 只
- 嵌
- 就业
- 员工
- 确保
- 环境
- 环境中
- 醚(ETH)
- 逃脱
- 执行
- 锻炼
- 渗出
- 退出
- 扩展
- 专栏
- 精选
- 文件
- 档
- 过滤器
- 最后
- 针对
- Fortinet公司
- 止
- 功能
- GitHub上
- 增长
- 指南
- 黑客
- 有
- 帮助
- 创新中心
- How To
- 但是
- HTTPS
- if
- in
- 包括
- 包括
- 包括
- 包含
- 结合
- 表示
- 指标
- 感染
- 信息
- 安装
- 安装
- 代替
- 房源搜索
- 意图
- 成
- 邀请
- 所调用
- IT
- 它的
- 一月三十一日
- JPG
- 景观
- (姓氏)
- 推出
- 启动
- 铅
- 学习用品
- 合法
- 杠杆作用
- 执照
- 喜欢
- 林
- 清单
- 装载机
- 负载
- 机
- 恶意
- 恶意软件
- 三月
- 标
- 最大
- 方法
- 可能
- 更多
- 净
- 全新
- 下页
- 注意到
- 数
- 对象
- 观察
- of
- 经常
- on
- 一旦
- 打开
- 开放源码
- or
- 起源
- 其他名称
- 其它
- 除此以外
- 拥有
- 员工
- Photoshop中
- 平台
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 热门
- 帖子
- PowerShell的
- 私立
- 所得款项
- 过程
- 曲目
- 训练课程
- 促进
- 所有权
- 提供
- 出版
- 达
- 接收
- 关于
- 定期
- 有关
- 知识库
- 信誉良好
- 资源
- 提供品牌战略规划
- s
- 说
- 沙箱
- 扫描
- 情景
- 脚本
- 安全
- 保安
- 提交
- 前辈
- 敏感
- 服务器
- 服务器
- 服务
- 特色服务
- 套数
- Share
- 共用的,
- 她
- 缩短
- 应该
- 类似
- 自
- 网站
- 软件
- 来源
- 来源
- 传播
- 传播
- 价差
- 阶段
- 启动
- 州/领地
- 步
- 被盗
- 暂停
- 系统
- 目标
- 技术
- 专业技术
- Telegram
- 比
- 这
- 其
- 他们
- 博曼
- 他们
- Free Introduction
- 今年
- 威胁
- 秘诀
- 至
- 工具
- 过渡
- 教程
- 二
- 一般
- 最终
- 不明
- 更新
- 最新动态
- 上传
- 上传
- 使用
- 用过的
- 用户
- 用户
- 运用
- 折扣值
- 变种
- 各个
- 版本
- 通过
- 受害者
- 视频
- 在线会议
- 卷筒纸
- 井
- 为
- 这
- Wild!!!
- 将
- 也完全不需要
- 写
- 年
- YouTube的
- 和风网
- 压缩