Tehdit aktörleri, kötü amaçlı yazılımları YouTube videolarında korsan yazılım ve video oyunu çatlakları olarak gizleyen Vidar, StealC ve Lumma Stealer gibi bilgi çalan kötü amaçlı yazılımlarla ev kullanıcılarını hedef alıyor.
Videolar, kullanıcılara ücretsiz yazılım veya oyun yükseltmeleri edinme konusunda talimat veriyor gibi görünüyor. Yine de açıklamadaki bir bağlantı, saldırganların meşru hesapları ele geçirmesine veya özellikle kötü amaçlı yazılımı dağıtmak için yeni hesaplar oluşturmasına neden olan kötü amaçlı yazılımlara yol açmaktadır.
Bu yöntem endişe verici çünkü çocuklar arasında popüler olan oyunları oynayan ve kötü amaçlı içeriği tanıma olasılığı daha düşük olan genç kullanıcıları hedef alıyor. Bu tür iki düzineden fazla hesap ve video tespit edilip kaldırılmak üzere YouTube’a bildirildi.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Diğer e-posta güvenlik çözümlerinin kaçırdığı kimlik avı saldırılarının %99’unu durdurur. .
Ücretsiz Demoyu Deneyin
Doğrulanmış bir YouTube kanalı, aniden kötü amaçlı bağlantılara sahip İngilizce videolar yayınlamaya başlayan Tayca içeriğin geçmişini buldu.
Muhtemelen meşruiyet amacıyla botlar tarafından desteklenen yeni videolar, popüler video oyunları için korsan yazılım ve karakter geliştirmeleri sunuyordu; bunların açıklamaları, yürütüldükten sonra Vidar Stealer kötü amaçlı yazılımını dağıtan şifre korumalı arşivlere (örneğin, “Setup_Pswrd_1234.rar”) bağlantılar içeriyordu.
Sahte yorumlar, antivirüs yazılımını atlatmaya yönelik talimatlar içeren ve saldırganlar tarafından kullanılan sosyal mühendislik taktiklerini vurgulayan kötü amaçlı içeriğin meşruiyetini daha da güçlendirdi.
Proofpoint, League of Legends için sahte Empress çatlaklarını tanıtan videolar buldu; bunlar arasında, şüpheli bir URL’den “empress.exe” adlı kötü amaçlı bir yürütülebilir dosya içeren RAR arşivini indirme talimatları da vardı ve kullanıcıları oyun crack’i görünümündeki Vidar Stealer kötü amaçlı yazılımını yüklemeleri için kandırmak için görsel talimatlar kullanıldı. .
Komuta ve Kontrol Etkinliği ile kötü amaçlı yazılım ayrıntıları
Kötü niyetli aktörler, MediaFire’da barındırılan şifre korumalı, sıkıştırılmış yürütülebilir dosyalara bağlantılar içeren YouTube videoları aracılığıyla Vidar kötü amaçlı yazılımını dağıtıyor.
Yürütülebilir dosyalar, antivirüs tarayıcılarını atlatmak için dolgu içeriyor ve olduklarından daha büyük görünüyor; Vidar ise komut ve kontrol talimatlarını Telegram, Steam Community ve Tumblr gibi sosyal medya hesaplarından alıyor.
Hesaplar, vidar’ın normal ağ trafiğine uyum sağlamasına olanak tanıyan, alfasayısal karakterler ve ardından bir IP adresi içeren kullanıcı adlarıyla tanımlanabilir.
Kötü amaçlı yazılım dağıtım kampanyası, aktörlerin YouTube hesaplarını ele geçirmesi ve Discord sunucu bağlantılarını dağıtmak için video açıklamalarını kullanması nedeniyle oyuncuları hedef aldı.
Discord sunucusu, hile görünümüne bürünmüş çeşitli oyuna özel kötü amaçlı yazılımlar sunuyordu; bunlar arasında “valoskin.zip” gibi indirilen dosyalar Lumma Stealer kötü amaçlı yazılımını içeriyordu. Aynı zamanda kampanya, YouTube üzerinden bilgi hırsızlığı dağıtımına ilişkin daha geniş bir eğilimin örneğini oluşturuyor.
Video içeriğindeki, dağıtım yöntemlerindeki ve hedef kitledeki (kurumsal olmayan kullanıcılar) benzerlikler, tek bir aktörü veya bir grup işbirlikçiyi akla getirir.
Sağlanan güvenlik ihlali göstergeleri (IOC’ler), Lumma dosyalarının (spoofer.exe, bypasser.exe) meşru uygulamalar (VALORANT.exe) olarak gizlendiği yeni bir Lumma ve Vidar kötü amaçlı yazılım saldırısını akla getiriyor.
Vidar, Steam profilini ve Telegram kanalını C2 sunucuları olarak kullanarak sosyal mühendislik taktiklerini kullandı. Her iki kötü amaçlı yazılım ailesi de Şubat 2024’ten beri aktif ve Mart ayında yeni örnekler ortaya çıktı.
E-postalarınızı anında güvenceye alın! İdeal e-posta güvenliği satıcınızı bulmak için 30 Saniyelik Ücretsiz Değerlendirmeye Katılın.