Bilgisayar korsanları, platformun büyük kullanıcı tabanı nedeniyle kötü amaçlı yazılım dağıtmak için YouTube kanallarını kullanıyor. Bilgisayar korsanları, YouTube kanallarını kullanarak kötü amaçlı içeriklerini şu şekilde gizler: –
- Meşru videolar
- Yasal bağlantılar
Bunun yanı sıra YouTube’un popülerliği, tehdit aktörlerine genel güvenlik önlemlerinden kaçma olanağı da sağlıyor.
Tehdit aktörleri, meşru görünen kanalları kullanarak, kötü amaçlı yazılımın yaygın dağıtımını kolaylaştırmak için kullanıcıların platforma olan güvenini istismar ediyor.
Fortinet’teki siber güvenlik araştırmacılarının yakın zamanda keşfettiği gibi, bilgisayar korsanları C dilindeki bir kötü amaçlı yazılım olan Lumma kötü amaçlı yazılımını dağıtmak için YouTube kanallarını aktif olarak kullanıyor.
MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.
Ücretsiz Kayıt Ol
Kötü Amaçlı Yazılım Sunacak YouTube Kanalları
Tehdit aktörlerinin oluşturduğu sahte YouTube videoları, aşağıdakiler kullanılarak kırık uygulama içeriğiyle gizlenir: –
- Gizli kurulum kılavuzları
- Zor TinyURL
- Kesin bağlantılar
Tehdit aktörleri, web filtrelerinden kaçınmak için sunucularını kullanmadan aşağıdaki platformlardan da yararlanır:-
Paylaşılan tüm bağlantılar, kullanıcı verilerini hedef alan karanlık web reklamlı kötü amaçlı yazılım Lumma Stealer için özel bir “.NET” yükleyicisine yönlendiriyor.
Dosya paylaşım platformlarında, tehdit aktörleri, güvenlik önlemlerinden kaçınmak için kötü amaçlı dosyalarını güncellemeye devam ediyor ve kullanıcıları, kötü amaçlı yazılımı ZIP dosyası biçiminde indirmeleri için kandırıyor.
- installer_Full_Version_V.1f2.zip
Zip dosyası, PowerShell’i GitHub’dan “.NET” yürütme dosyasını indirmesi için tetikleyen LNK dosyasını içerir.
Burada “hxxp://cutt” olarak kısaltılan URL[.]ly/lwD7B7lp”, aşağıdaki URL’ye bağlanır: –
- hxxps://github[.]com/John1323456/New/raw/main/Installer-Install-2023_v0y.6.6[.]exe
Aşağıdaki iki depo aynı zamanda NET yükleyicileri de içerir ve aynı şeyleri yapar: –
Sistem ortamını temel alan karmaşık PowerShell betiği, özel .NET yükleyicisi tarafından yüklenir.
Gizli yürütme için aşağıdakileri yapar: –
- Bir sözlük oluşturur
- PowerShell sürecini başlatır
- Base64’te sunucu IP’sini kodlar
Komut dosyası, şifrelenmiş verileri almak için sistem verilerini değerlendirir ve bunları alakasız kodla gizler. “System.Reflection.Assembly]::Load()” aracılığıyla çağrılan DLL dosyası için verilerin şifresini aşağıdakileri kullanarak çözer:-
PerkyRiggal, dize kodlama için ‘BygoLarchen’i kullanarak Lumma Stealer’ın Kaynaklardaki nihai yükünü PNG dosyaları aracılığıyla çözen önemli bir sistem denetçisidir.
Bu, tespit edilmekten kaçınmaya yardımcı olur ve yalnızca bu da değildir; hatta çeşitli faktörleri kontrol ederek aşağıdakileri bile zorlar: –
Çevresel kontrollerden sonra kaynakların şifresini çözer ve iş yükünün eklenmesine yardımcı olan iş parçacığının geçişini sağlamak için ‘SuspendThread’i tetikler.
Lumma Stealer, gizleme yoluyla tespit edilmekten kaçınır ve aşağıdakileri yapar: –
- C&C sunucusuyla iletişim kurar
- POST mesajları gönderir
- HTTPS kullanımına yönelik güncellemeler
- YouTube kanallarını hedefler
- Yem ZIP dosyalarını kullanın
Öneriler
Siber güvenlik araştırmacıları aşağıdaki önerileri şiddetle tavsiye etti: –
- Bilinmeyen uygulama kaynaklarına karşı her zaman dikkatli olun.
- Meşru uygulamaları kullandığınızdan emin olun.
- Uygulamaların güvenliğini her zaman iki kez kontrol edin.
IoC’ler
Dijital sistemlerin güvenlik durumunu değerlendirmek ve değerlendirmek için Kelltron’un uygun maliyetli sızma testi hizmetlerini ücretsiz deneyin