Bilgisayar Korsanları Kötü Amaçlı Yazılımları YouTube Video Oyunu Çatlakları Aracılığıyla Sunuyor


Tehdit aktörleri, kötü amaçlı yazılımları YouTube videolarında korsan yazılım ve video oyunu çatlakları olarak gizleyen Vidar, StealC ve Lumma Stealer gibi bilgi çalan kötü amaçlı yazılımlarla ev kullanıcılarını hedef alıyor.

Videolar, kullanıcılara ücretsiz yazılım veya oyun yükseltmeleri edinme konusunda talimat veriyor gibi görünüyor. Yine de açıklamadaki bir bağlantı, saldırganların meşru hesapları ele geçirmesine veya özellikle kötü amaçlı yazılımı dağıtmak için yeni hesaplar oluşturmasına neden olan kötü amaçlı yazılımlara yol açmaktadır.

Güvenliği ihlal edildiğinden şüphelenilen, geniş bir takipçi sayısına sahip, doğrulanmış bir YouTube hesabı örneği.
Büyük bir takipçi kitlesine sahip, doğrulanmış bir YouTube hesabı örneğinin ele geçirildiğinden şüpheleniliyor.

Bu yöntem endişe verici çünkü çocuklar arasında popüler olan oyunları oynayan ve kötü amaçlı içeriği tanıma olasılığı daha düşük olan genç kullanıcıları hedef alıyor. Bu tür iki düzineden fazla hesap ve video tespit edilip kaldırılmak üzere YouTube’a bildirildi.


Belge

Gelişmiş Kimlik Avı Saldırısını Yapay Zekayla Durdurun

Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Diğer e-posta güvenlik çözümlerinin kaçırdığı kimlik avı saldırılarının %99’unu durdurur. .

Doğrulanmış bir YouTube kanalı, aniden kötü amaçlı bağlantılara sahip İngilizce videolar yayınlamaya başlayan Tayca içeriğin geçmişini buldu.

Yükleme tarihlerini karşılaştıran, kötü amaçlı yazılım dağıtan, güvenliği ihlal edildiğinden şüphelenilen bir YouTube hesabının ekran görüntüsü.
Yükleme tarihlerini karşılaştıran, kötü amaçlı yazılım dağıtan, güvenliği ihlal edildiğinden şüphelenilen bir YouTube hesabının ekran görüntüsü.

Muhtemelen meşruiyet amacıyla botlar tarafından desteklenen yeni videolar, popüler video oyunları için korsan yazılım ve karakter geliştirmeleri sunuyordu; bunların açıklamaları, yürütüldükten sonra Vidar Stealer kötü amaçlı yazılımını dağıtan şifre korumalı arşivlere (örneğin, “Setup_Pswrd_1234.rar”) bağlantılar içeriyordu.

Virüsten koruma yazılımını devre dışı bırakma talimatlarını içeren video açıklamasının ekran görüntüsü.
Virüsten koruma yazılımını devre dışı bırakma talimatlarını içeren video açıklamasının ekran görüntüsü.

Sahte yorumlar, antivirüs yazılımını atlatmaya yönelik talimatlar içeren ve saldırganlar tarafından kullanılan sosyal mühendislik taktiklerini vurgulayan kötü amaçlı içeriğin meşruiyetini daha da güçlendirdi.

Proofpoint, League of Legends için sahte Empress çatlaklarını tanıtan videolar buldu; bunlar arasında, şüpheli bir URL’den “empress.exe” adlı kötü amaçlı bir yürütülebilir dosya içeren RAR arşivini indirme talimatları da vardı ve kullanıcıları oyun crack’i görünümündeki Vidar Stealer kötü amaçlı yazılımını yüklemeleri için kandırmak için görsel talimatlar kullanıldı. .

İmparatoriçe videosundan telgraf bağlantısı.
İmparatoriçe videosundan telgraf bağlantısı.

Komuta ve Kontrol Etkinliği ile kötü amaçlı yazılım ayrıntıları

Kötü niyetli aktörler, MediaFire’da barındırılan şifre korumalı, sıkıştırılmış yürütülebilir dosyalara bağlantılar içeren YouTube videoları aracılığıyla Vidar kötü amaçlı yazılımını dağıtıyor.

Onaltılı düzenleyicide tanımlanan yinelenen baytlar.
Onaltılı düzenleyicide tanımlanan yinelenen baytlar.

Yürütülebilir dosyalar, antivirüs tarayıcılarını atlatmak için dolgu içeriyor ve olduklarından daha büyük görünüyor; Vidar ise komut ve kontrol talimatlarını Telegram, Steam Community ve Tumblr gibi sosyal medya hesaplarından alıyor.

Vidar Stealer C2 giriş PCAP'ı.
Vidar Stealer C2 giriş PCAP’ı.

Hesaplar, vidar’ın normal ağ trafiğine uyum sağlamasına olanak tanıyan, alfasayısal karakterler ve ardından bir IP adresi içeren kullanıcı adlarıyla tanımlanabilir.

Bağlantı, tehdit aktörünün Discord gönderisine yönlendiriyor.
Bağlantı, tehdit aktörünün Discord gönderisine yönlendiriyor.

Kötü amaçlı yazılım dağıtım kampanyası, aktörlerin YouTube hesaplarını ele geçirmesi ve Discord sunucu bağlantılarını dağıtmak için video açıklamalarını kullanması nedeniyle oyuncuları hedef aldı.

“Desteklenen” oyunların listesi.
“Desteklenen” oyunların listesi.

Discord sunucusu, hile görünümüne bürünmüş çeşitli oyuna özel kötü amaçlı yazılımlar sunuyordu; bunlar arasında “valoskin.zip” gibi indirilen dosyalar Lumma Stealer kötü amaçlı yazılımını içeriyordu. Aynı zamanda kampanya, YouTube üzerinden bilgi hırsızlığı dağıtımına ilişkin daha geniş bir eğilimin örneğini oluşturuyor.

Video içeriğindeki, dağıtım yöntemlerindeki ve hedef kitledeki (kurumsal olmayan kullanıcılar) benzerlikler, tek bir aktörü veya bir grup işbirlikçiyi akla getirir.

Sağlanan güvenlik ihlali göstergeleri (IOC’ler), Lumma dosyalarının (spoofer.exe, bypasser.exe) meşru uygulamalar (VALORANT.exe) olarak gizlendiği yeni bir Lumma ve Vidar kötü amaçlı yazılım saldırısını akla getiriyor.

Vidar, Steam profilini ve Telegram kanalını C2 sunucuları olarak kullanarak sosyal mühendislik taktiklerini kullandı. Her iki kötü amaçlı yazılım ailesi de Şubat 2024’ten beri aktif ve Mart ayında yeni örnekler ortaya çıktı.

E-postalarınızı anında güvenceye alın! İdeal e-posta güvenliği satıcınızı bulmak için 30 Saniyelik Ücretsiz Değerlendirmeye Katılın.



Source link