Yeni bir siber saldırı dalgası, YouTube içerik oluşturucularını hedefliyor ve kötü amaçlı yazılım dağıtmak için sahte marka işbirliği tekliflerinden yararlanıyor.
Siber güvenlik firması CloudSek, içerik oluşturucuları aldatmak ve sistemlerini tehlikeye atmak için “ClickFlix” tekniğini kullanan sofistike bir kimlik avı kampanyası ortaya çıkardı.
Saldırı vektörü, özel ayrıştırıcı araçlarını kullanarak YouTube kanallarından e -posta adreslerini kazıyan tehdit aktörleriyle başlar.
Daha sonra, meşru marka işbirliği tekliflerini taklit eden toplu kimlik avı e -postaları göndermek için tarayıcı otomasyonunu kullanırlar.
Bu e -postalar, içerik oluşturucuları kötü niyetli eklerle etkileşime sokmaya teşvik etmek için tasarlanmış abone sayısına dayalı cazip tazminat yapıları içerir.
ClickFlix Tekniği: Yeni Bir Aldatma Seviyesi
ClickFlix tekniği, gelişmiş bir kötü amaçlı yazılım dağıtım yöntemini temsil eder.
Mağdurlar bir ödeme formu veya banka transfer belgesi olduğu iddia edilen bir bağlantıyı tıkladıklarında, sahte bir Microsoft Word çevrimiçi sayfasına yönlendirilirler.
Bu sayfa, “nasıl düzeltilir” ve “otomatik düzeltme” seçeneklerini sunan bir uzantının yüklenmediğini iddia eden bir hata mesajı görüntüler.
“Nasıl Düzeltilir” düğmesini tıklamak, Base64 kodlu bir PowerShell komutunu kullanıcının panosuna gizlice kopyalar.
Sayfa daha sonra hedefe, kötü amaçlı kodu yapıştıran ve yürüten bir PowerShell terminali açma ve sağ tıklama talimatını verir.
Bu sosyal mühendislik taktiği, kullanıcıları bilmeden kötü amaçlı yazılım enfeksiyonu sürecini başlatmaya yönlendirir.
Etkinleştirildikten sonra, kötü amaçlı yazılım, giriş bilgileri, çerezler ve cüzdan bilgileri dahil olmak üzere tarayıcı verilerini çalabilir.
Bazı durumlarda, saldırganlara uzaktan erişim sağlayabilir ve potansiyel olarak hesap devralmalarına ve veri hırsızlığına yol açabilir.
Global Etki ile Geniş Gelen Kampanya
Rapora göre, bu kampanyanın kapsamı önemlidir ve 200.000’den fazla YouTube içerik oluşturucu küresel olarak hedeflenir.
Saldırganlar, kötü niyetli mesajlarını dağıtmak için 340’dan fazla SMTP sunucusunu kullanarak tek bir hesaptan 500 ila 1.000 arasında kimlik avı e -postası gönderiyorlar.
Kampanya, marka işbirlikleri ve tanıtım teklifleriyle ilgilenme olasılıkları daha yüksek olduğu için öncelikle pazarlama, satış ve yönetici pozisyonlarındaki bireylere odaklanmaktadır.
Bu hedefleme stratejisi, kimlik avı girişimlerinin etkinliğini artırır.
Tehdit manzarası geliştikçe, içerik oluşturucular uyanık kalmalıdır.
Uzmanlar, özellikle şifre korumalı ekler içeren istenmeyen işbirliği tekliflerine dikkat etmeyi önermektedir.
İçerik oluşturucular, marka anlaşmalarının meşruiyetini bağımsız olarak doğrulamalı ve şifre korumalı görünse bile bilinmeyen gönderenlerden ekleri indirmekten kaçınmalıdır.
ClickFlix saldırısı, siber suçlular tarafından kullanılan giderek artan sofistike taktikleri hatırlatıyor.
YouTube içerik oluşturucuları kazançlı hedefler olmaya devam ettikçe, sağlam siber güvenlik uygulamalarının ve farkındalığın önemi abartılamaz.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılımları, kimlik avı olaylarını analiz edin ve herhangi biriyle canlı erişim sağlayın. Run -> Şimdi ücretsiz başlayın.