Bilgisayar Korsanları IMalware Sunmak İçin Popüler YouTube Kanallarını Ele Geçiriyor

   Nisan 9, 2024  Posted in CyberSecurityNews


Bilgisayar Korsanları Bilgi Hırsızı Kötü Amaçlı Yazılım Sunmak İçin Popüler YouTube Kanallarını Ele Geçiriyor

Bilgisayar korsanları, geniş kitle tabanları nedeniyle her zaman ünlü YouTube kanallarını hedef alır ve amaçları da farklı nedenlerle aynı durumdan yararlanmaktır.

Böyle bir platformu hacklemek, fidye talep ederek veya reklamlardan yasa dışı gelir elde ederek yapılabilecek, para açısından en kazançlı faaliyetlerden biri haline geliyor.

Ayrıca önde gelen kanallar, bilgisayar korsanlarının kötü amaçlı yazılım ve propaganda dağıtmasına olanak tanıyan uygun araçlardır.

ASEC’teki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının bilgi hırsızlığı yapan kötü amaçlı yazılımlar sunmak için popüler YouTube kanallarını aktif olarak hedef aldığını ve ele geçirdiğini keşfetti.

800.000’den fazla abonesi olan bir YouTube hesabı tarafından yüklenen kötü amaçlı yazılım (Kaynak – ASEC)

Kötü amaçlı yazılım dağıtımı, temel olarak, kötü amaçlı yazılım olan oyun hileleri, çatlaklar ve keygen’ler gibi meşru uygulamalara sahip hileli web siteleri gibi web hizmetlerinin kötüye kullanılmasından kaynaklanır.

Belge

Gelişmiş Kimlik Avı Saldırısını Yapay Zekayla Durdurun

Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Diğer e-posta güvenlik çözümlerinin kaçırdığı kimlik avı saldırılarının %99’unu durdurur. .


Bu siteler kullanıcıların güvenine ihanet ederek onların şüphelenmeden kötü amaçlı yazılım indirip çalıştırmalarına neden olur.

YouTube aynı zamanda tehdit aktörlerinin videolara, açıklamalara ve yorumlara kötü amaçlı yazılım indirmeye yönelik bağlantılar eklediği bir hedeftir.

2020’den bu yana RedLine, BlackGuard ve RecordBreaker gibi bilgi hırsızlarının dağıtım kanalı burası.

Son olayda, bilgisayar korsanları eğlenceden niş ilgi alanlarına kadar çok sayıda abonesi olan kanalları seçtiler ve bu da saldırılarının boyutunu artırdı.

Hedeflenen YouTube kanalları (Kaynak – ASEC)

Saldırganlar genellikle videoları Adobe gibi orijinal programların kırık sürümlerine yüklüyor ve video açıklamaları veya yorumlarında indirme bağlantıları bulunuyor.

Parola korumalı kötü amaçlı yazılım verileri, algılamayı alt etmek için MediaFire’da barındırılır.

Dekompresyon altında Vidar gibi enfeksiyonlar gizli formlarıyla ortaya çıkar.

“Set-up.exe”de olduğu gibi normal görünen bu yükleyiciler, başlatıldığında “msedge_elf.dll” de dahil olmak üzere değiştirilmiş kötü amaçlı yazılım parçalarını etkili bir şekilde yükler.

“berley.asp” ve “complot.ppt” gibi şifrelenmiş dosyaların veri yükleri olarak hizmet etmesini sağlar. Esasen, bu tür şifresi çözülmüş kötü amaçlı yazılımlar genellikle boyutu 800 MB’a kadar olan sahte dosyalar içinde gizli kalır ve bu da daha fazla güvenlik önleminin uygulanmasına neden olur.

Ayrıca C&C sunucu adresleri ile Telegram ve Steam Community gibi platformların paylaşılması, etkinliklerin tek bir aktör tarafından organize edildiğini gösteriyor.

Vidar Telegram ve Steam’i Kötüye Kullanıyor (Kaynak – ASEC)

Yükleyiciler LummaC2 kötü amaçlı yazılımını içeriyor ve Vidar kötü amaçlı yazılım durumlarıyla karşılaştırıldığında hiçbir dikkate değer özelliğe sahip değil.

Vidar, Azorult, RedLine ve AgentTesla gibi bir bilgi hırsızı olan LummaC2, kimlik bilgilerini, kripto para cüzdanlarını ve ekran görüntülerini çalıyor.

LummaC2 kötü amaçlı yazılımını içeren yükleyiciler (Kaynak – ASEC)

Crackli yazılım olarak aktif olarak dağıtılmaktadır. Son zamanlarda tehdit aktörleri, korsan uygulama görünümündeki Vidar ve LummaC2 kötü amaçlı yazılımlarını dağıtmak için popüler YouTube kanallarını hackledi ve 800.000’den fazla aboneyi hedef aldı.

Bu bilgi hırsızları kullanıcı verilerini toplar ve ek kötü amaçlı yazılım yükleyebilir. Kullanıcılar yasa dışı programlardan ve şüpheli sitelerden/P2P’den kaçınmalı ve orijinal yazılım kullanmalıdır.

Bunun yanı sıra, kötü amaçlı yazılım bulaşmasını önlemek için V3’ün güncellenmesi de önerilir.

IoC’ler

MD5’ler

  • af273f24b4417dce302cf1923fb56c71: Vidar Yükleyici (msedge_elf.dll)
  • 0c9c366aa9938df153c406db65debe82: Kodlanmış Veri (berley.asp)
  • dae50482d640385a5665272cd1f716df: Kodlanmış Veri (complot.ppt)
  • e8201c07fcb62107a91411c55c261fab: Vidar (Setup.exex)
  • 2414085b0a5bf49d9658f893c74cf15e: LummaC2 (Adobe_Activator.exe)
  • cd0338fffaebc9cbc50a435868397e96: LummaC2 (Update-setup.exe)

C&C Sunucuları

  • hxxps://steamcommunity[.]com/profiles/76561199658817715: Vidar
  • hxxps://t[.]ben/sa9ok: Vidar
  • hxxps://78.47.221[.]177: Daha Fazla
  • hxxps://95.216.176[.]246:5432: Vidar
  • hxxps://interferencesandyshiw[.]mağaza/api: LummaC2
  • hxxps://chokepopilarvirusew[.]mağaza/api: LummaC2
  • hxxps://yastıkbrocccolipe[.]mağaza/api: LummaC2
  • hxxps://iletişim oluşturucu[.]mağaza/api: LummaC2
  • hxxps://diskretainvigorousiw[.]mağaza/api: LummaC2
  • hxxps://affordcharmcropwo[.]mağaza/api: LummaC2
  • hxxps://dismissalcylinderhostw[.]mağaza/api: LummaC2
  • hxxps://enthusiasimtitleow[.]mağaza/api: LummaC2
  • hxxps://endişe doluvolcawoi[.]mağaza/api: LummaC2
  • hxxps://cleartotalfisherwo[.]mağaza/api: LummaC2

Secure your emails in a heartbeat! To find your ideal email security vendor, Take a Free 30-Second Assessment.



Source link