Bilgisayar Korsanları Kötü Amaçlı Yazılım Sunmak İçin YouTube Videolarından Yararlanıyor

Tehdit aktörleri, teknik sıfır günden geniş çaplı kimlik avına kadar taktikler kullanarak güvenlik açıklarından yararlanmanın yollarını arar.

Sosyal mühendislik, sosyal medya gibi yüksek trafikli sitelerde hızlı, ucuz ve yaygın saldırılara olanak tanıyan ticari kötü amaçlı yazılımlarla birleşir.

Önemsiz gibi görünse de, YouTube’da kırık yazılım görünümüne bürünmüş kötü amaçlı yazılımlar sunan yapay zeka tarafından oluşturulan videolar gibi bu enfeksiyonlar, kullanıcılar ve kuruluşlar için önemli riskler oluşturmaktadır.

Kötü Amaçlı Yazılım Yoluyla Youtube videoları

Saldırgan, sızdırılan eski kimlik bilgilerini kullanarak etkin olmayan YouTube kanallarının kontrolünü ele geçirir. Cyberreason raporuna göre, daha sonra, kurbanları kırılmış yazılım vaadiyle baştan çıkararak kanalın önceki içeriğinden farklı olan farklı bir kısa video yüklüyorlar.

2021 yılına kadar rap müziğe odaklanan bir hesap, Ağustos 2023’te birdenbire Adobe Animate’in kırık bir sürümünü paylaştı. Uzmanlar, küçük resimlerin ve başlıkların tutarlı düzenini fark ediyor.

Videolar, animasyonlu arka planlar üzerinde sesten metne ve metni karıştırarak yapay zeka tarafından oluşturulan içeriği kullanır. İzleyici büyüklüğü sıfırdan yüz binin üzerine kadar değişir.

Tehdit aktörleri, kırık yazılım aramalarıyla ilgili tonlarca etiket ekleyerek SEO zehirlenmesi gibi hilelerle video isteklerini artırıyor. Etiketler, yerelleştirilmiş saldırı kampanyalarına işaret ederek hedeflenen bölgelerin dilleriyle bile eşleşiyor.

Tehdit aktörleri, kurbanları tuzağa düşürmek için güvenliği ihlal edilmiş hesapları kullanarak veya yorumları devre dışı bırakarak güven amacıyla video yorumlarını manipüle eder.

Videolar, Rebrandly veya Bitly gibi bağlantı kısaltıcılar aracılığıyla şifrelere erişen ve URL’leri maskeleyen, kırıldığı iddia edilen yazılımlara bağlantı içeren bir açıklamaya rehberlik eder.

Dosya paylaşımındaki veya güvenliği ihlal edilmiş sitelerdeki kötü amaçlı yük, yasal olduğunu düşünerek indiren kurbanlara bulaşıyor.

Bilgi hırsızları ve kötü amaçlı yazılımlar gözlemlendi

Aşağıda, gözlemlenen tüm bilgi hırsızı ve kötü amaçlı yazılım türlerinden bahsettik: –

13 gün önce yüklenen son video Microsoft Office crack’i vaat ediyor. Açıklamada şifreli bir Rebrandly bağlantısı var ve bağlantı, gerçek indirme bağlantısını gizleyerek Telegraph URL’sine yönlendiriyor.

Telegraph, anonim yayınlamaya izin veriyor ve zaman damgası 24 Kasım 2022’den bu yana gerçekleşen etkinliği gösteriyor; bağlantı MediaFire barındırma Kurulumuna (PA$S 5577).rar’a yönlendirir.

Rar dosyasının sıkıştırmasını açmak için gereken parola ve Setup.exe, bir Makedisk ürünü olduğunu iddia ediyor, ancak analizler bunun kötü amaçlı olduğunu doğruluyor.

Dosyanın meta verileri, derleme tarihinin 30 Ağustos 2023 olduğu bir Smart Assembly .NET karmaşıklaştırılmış .NET ikili dosyası olduğunu ortaya koyuyor. Statik analiz için de4dot ve dnSpy gibi araçlara ihtiyaç var.

VirusTotal bunu Redline olarak işaretler, ancak Setup.exe bunu vbc.exe’yi tetikleyerek çalıştırır. Vbc.exe, Redline C2 sunucusu olarak işaretlenen Finlandiya merkezli bir IP’ye (95.217.14.200) bağlanır.

Cybereason, potansiyel kimlik bilgisi hırsızlığı ve veri sızması içeren bir Kötü Amaçlı Operasyonu (MalOp) tespit eder. Başarılı bir Redline enfeksiyonu, ağ içinde daha fazla yararlanmaya ve yanal harekete izin vererek tehdit aktörüne erişim sağlar.

TropiCracked, geniş erişim için YouTube, Telegraph ve Mediafire’ı kullanarak uygun maliyetli bir altyapıdan verimli bir şekilde yararlanır.

Güvenliği ihlal edilmiş YouTube hesaplarından, Redline erişiminden ve Google Dorking’den yararlanan saldırı, minimum maliyet ve teknik beceriyle 800’den fazla hesabı hedef alıyor.

Sosyal medya çabalarına rağmen bireylerin ve kuruluşların bu tür saldırılara karşı uç noktaları güvence altına alması gerekiyor.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.