Istraživači kompanije FortiGuard Labs nedavno su se susreli s novom kampanjom Lumma Stealer koja koristi YouTube kanale za propagaciju. Napadači strateški kompromituju YouTube naloge i postavljaju video zapise koji se pretvaraju da nude krekovani softver za legitimne alate za uređivanje videa kao što je Vegas Pro.
Modus operandi
- Prema istraživačima, ovi video snimci sadrže ugrađene zlonamjerne URL-ove, koji podstiču korisnike da preuzmu ZIP datoteku pod nazivom ‘installer_Full_Version_V.1f2.zip.’
- Nakon preuzimanja ZIP datoteke, žrtve nesvjesno pokreću višefazni napad koji na kraju rezultira izvršavanjem .NET učitavača iz GitHub spremišta i krađom informacija u završnoj fazi.
- .NET učitavač, zamagljen sa SmartAssembly, koristi napredne tehnike za izbjegavanje otkrivanja.
- Maliciozni softver koristi PowerShell da radi diskretno i koristi svojstva kao što su RedirectStandardInput, CreateNoWindow i UseShellExecute kako bi izbjegao izazivanje sumnje kod svojih žrtava.
Istraživači su primijetili da su video snimci postavljeni prošle godine, ali su ZIP fajlovi redovno ažurirani, što je omogućilo hakerskoj grupi da ostane ispod radara dok efikasno širi zlonamjerni softver.
Šta još?
- Varijanta Lumma Stealer koja se koristi u kampanji je napisana u C programskom jeziku i prodaje se na underground forumima.
- Poznato je da kradljivac informacija eksfiltrira osjetljive informacije iz sistema žrtava, uključujući pretraživače, kripto novčanike i ekstenzije pretraživača.
YouTube: unosno utočište za napadače
Tokom godina, stranica u vlasništvu Google-a je svjedočila porastu velikih infekcija malverom i kripto prevarama. Navešćemo nekoliko primjera iz prošle godine:
Hakeri su iskoristili lažne Android aplikacije, kao što su YouTube, Netflix i Instagram, da zaraze korisnike novim malverom pod nazivom DogeRAT.
U drugom slučaju, prikriveni loader pod nazivom in2al5d p3in4er distribuisan je putem YouTube video zapisa kako bi se isporučio Aurora infostealer na sisteme žrtava.
Završna misao
Ako ste na YouTube-u, budite oprezni kada preuzimate instalacione programe za softverske aplikacije. Kao pravilo, preporučuje se preuzimanje aplikacija/softvera iz pouzdanih izvora.
Izvor: Cyware Alerts – Hacker News