Bilgisayar korsanları YouTube videolarını öncelikli olarak ‘mali kazanç’ amacıyla ve platformun geniş kitle tabanından yararlanma amacıyla hedef alıyor.
Bilgisayar korsanları, popüler kanalları ele geçirerek, abonelerini kandırmak için “orijinal yaratıcılar” gibi görünerek “kötü amaçlı bağlantılar” dağıtabilir ve “dolandırıcılık” içeriği dağıtabilirler.
Son zamanlarda Kaspersky Lab’deki siber güvenlik analistleri, bilgisayar korsanlarının gelişmiş kötü amaçlı yazılımlar sunmak için YouTube videolarını aktif olarak kullandığını keşfetti.
Analyse Any Suspicious Links Using ANY.RUN’s New Safe Browsing Tool: Try for Free
YouTube Videoları Aracılığıyla Gelişmiş Kötü Amaçlı Yazılımlar
Tehdit aktörleri, 2022’de ayrıntılı bir “kötü amaçlı yazılım dağıtım ağı” aracılığıyla öncelikli olarak “Rusça konuşan kullanıcıları” hedef alan karmaşık bir kripto para madenciliği kampanyası yönetti.
Saldırganlar, ‘uTorrent’, ‘Microsoft Office’ ve ‘uTorrent’ gibi popüler yazılım paketleri gibi görünen kötü amaçlı dosyaları dağıtmak için birden fazla saldırı vektörü (“Yandex arama sonuçlarının SEO manipülasyonu”, “tehlikeli Telegram kanalları” ve “ele geçirilen YouTube hesapları”) kullandı. Minecraft.’
Bulaşma zinciri, “çok aşamalı bir saldırı dizisini” tetikleyen ‘VBScript’ içeren “şifre korumalı MSI dosyaları” ile başlarken.
Bu, meşru dijital imzalı “DLL” içinde gizlenen ‘AutoIt komut dosyalarını’ kullanarak “SİSTEM düzeyine” ayrıcalık yükseltmeyi de içeriyordu.
Bu, “kötü amaçlı kodu” gizlerken imza geçerliliğini koruyan bir tekniktir.
Kötü amaçlı yazılım, “WMI olay filtreleri”, “kayıt defteri değişiklikleri” (özellikle ‘Görüntü Dosyası Yürütme Seçenekleri’, ‘Hata Ayıklayıcı’ ve ‘MonitorProcess anahtarları’nı hedef alan) ve açık kaynak “Wazuh SIEM aracısının kötüye kullanılması” gibi birden fazla mekanizma aracılığıyla kalıcılık sağladı ”uzaktan erişim için.
Saldırganlar, kötü amaçlı bileşenleri gizlemek için karmaşık savunmadan kaçınma teknikleri (“explorer.exe aracılığıyla işlem boşaltma”, “hata ayıklama önleme kontrolleri” ve “özel GUID tabanlı dizin adlarını kullanarak dosya sistemi manipülasyonu”) uyguladı.
Kaspersky, son veri yükünün ‘Monero’ ve ‘Zephyr’ gibi gizlilik odaklı kripto para birimlerini çıkarırken tespitten kaçınmak için süreç tabanlı ‘gizlilik mekanizmaları’ uygulayacak şekilde yapılandırılan “SilentCryptoMiner”ı kullandığını söyledi.
Kötü amaçlı yazılım ayrıca sistem telemetrisini (“CPU özellikleri”, “GPU ayrıntıları”, “İşletim sistemi sürümü” ve “antivirüs bilgileri” dahil) topladı ve bunu bir Telegram bot API’si aracılığıyla aktardı; bazı değişkenler, özellikle ” kripto para birimi cüzdan adresleri.”
Bu kötü niyetli kampanya, Rus kullanıcıları (%87,63) hedeflemenin yanı sıra, “Beyaz Rusya”, “Hindistan”, “Özbekistan”, “Kazakistan”, “Almanya”, “Cezayir”, “Çek Cumhuriyeti”, “Mozambik” ve “ Hindi.”
Burada tehdit aktörleri, ‘kırılmış yazılım’, ‘oyun hileleri’ ve ‘premium yazılımın ücretsiz sürümlerini’ arayan kullanıcıları hedeflemek için dağıtım stratejilerini “güvenliği aşılmış web siteleri”, “manipüle edilmiş YouTube videoları” ve “Telegram kanalları” aracılığıyla tasarladılar. .’
Bu kullanıcılar, “resmi olmayan yazılım” yüklemek için genellikle AV araçlarının koruma ve güvenlik önlemlerini isteyerek devre dışı bıraktıkları için özellikle savunmasızdı.
Saldırının karmaşıklığı, farklı yük bileşenlerinin tehdit aktörünün hedeflerine göre dinamik olarak yüklenebildiği “modüler yapısında” açıkça görülüyordu.
Bu, kitlesel ölçekli kampanyaların, gelişmiş “gizleme yöntemleri” ve “analiz önleme özellikleri” aracılığıyla “gizliliği” korurken, karmaşık ve kurumsal düzeyde saldırı tekniklerini nasıl birleştirebileceğini gösteriyor.
Strategies to Protect Websites & APIs from Malware Attack => Free Webinar