Cyble Research Labs (CRL), PennyWise ve RedLine gibi hırsızların YouTube kampanyaları aracılığıyla arttığını ve yayıldığını belirtiyor. Analizlerinde, yalnızca son 3 ayda 5.000’den fazla PennyWise Stealer yürütülebilir örneği belirlediler.
‘PennyWise hırsızı’, kullanıcılara virüs bulaştırmak için YouTube’dan yararlanan, kaçamak bir bilgi hırsızıdır. Hata ayıklama işlemini sıkıcı hale getiren bilinmeyen bir şifreleyici kullanılarak oluşturulmuştur. Kullanıcı verilerini çalmak için çoklu iş parçacığı kullanır ve 10’dan fazla iş parçacığı oluşturarak daha hızlı yürütme ve çalma sağlar.
‘RedLine hırsızı’, yeraltı forumlarında yaygın olarak satışı yapılan bir bilgi çalan kötü amaçlı yazılım ailesidir.
Kullanıcılar Nasıl Kandırılır?
Tehdit aktörleri, belirli yazılımları nasıl indirip kuracaklarına ilişkin video eğitimleri yükler ve kullanıcıları kötü amaçlı yazılımı yüklemeye yönlendiren ücretsiz ücretli abonelikler almaları için kullanıcılara rehberlik eder. Bu yazılımın bağlantısı (aslında kötü amaçlı yazılımdır) YouTube video açıklamasında bulunacaktır.
Bağlantı, tehdit aktörlerinin parola korumalı arşiv dosyalarını kullanarak kötü amaçlı Windows yürütülebilir dosyalarını barındırdığı Mega, Mediafire, OneDrive, Discord ve Github gibi ücretsiz bulut depolama ve dosya barındırma hizmetlerine yönlendirilecektir. Uzmanlar, bu YouTube kampanyalarının esas olarak kötü amaçlı yazılımları çalan ve madenci kategorilerini yaydığını söylüyor.
Bu durumda tehdit aktörleri, oyunlar, programlar veya virüsten koruma yazılımı gibi ücretsiz abonelikler almakla ilgilenen kullanıcıları hedefler. Genellikle insanlar “yazılım crackleri”, “keygens” vb. anahtar kelimeleri ararlar. O zaman, kullanıcılar kötü amaçlı bağlantıları olan bu YouTube videolarına yönlendirilir.
“Bu YouTube kanallarında video yükleme sıklığında ve yüklenen video türlerinde ani değişiklikler gözlemledik. Bu, bu kampanyalar için kullanılan YouTube kanallarının ya güvenliği ihlal edilmiş hesaplar olduğundan ya da özellikle kötü amaçlı kötü amaçlı yazılım yaymak amacıyla oluşturulduğundan şüphelenmemize neden oldu”, Cyble Research Labs.
Ayrıca araştırmacılar, YouTube kanalının düzenli olarak şarkı söyleme ve eğlenceli aktivitelerle ilgili videolar yüklediğini ve beklenmedik bir şekilde yazılım crack/hack ile ilgili videolar yayınlamaya başladığını fark ettiler. Ayrıca bu kanalların binlerce abonesi var.
Bu nedenle, tehdit aktörleri, YouTube videoları aracılığıyla kötü amaçlı yazılım yükleri sağlamak için güvenliği ihlal edilmiş Google hesaplarını kullanıyor. Bu nedenle, güvenliği ihlal edilmiş bu Google hesapları, Google Drive’da kötü amaçlı verileri barındırmak veya kurbanın Gmail hesaplarından kimlik avı spam e-postaları göndermek gibi diğer kötü amaçlı amaçlar için de kullanılabilir.
Öneriler
- Doğrulanmamış sitelerden korsan yazılım indirmekten kaçının.
- Güçlü parolalar kullanın ve mümkün olan her yerde çok faktörlü kimlik doğrulamasını zorunlu kılın.
- Belirli aralıklarla şifrelerinizi güncellemeye devam edin.
- PC, dizüstü bilgisayar ve mobil cihazlar dahil olmak üzere bağlı cihazlarınızda tanınmış bir virüsten koruma ve internet güvenliği yazılımı paketi kullanın.
- Güvenilmeyen bağlantıları ve e-posta eklerini, orijinalliklerini doğrulamadan açmaktan kaçının.
- Torrent/Warez gibi kötü amaçlı yazılımı yaymak için kullanılabilecek URL’leri engelleyin.
- Kötü amaçlı yazılım veya TA’lar tarafından veri sızmasını engellemek için işaretçiyi ağ düzeyinde izleyin.
- Çalışanların sistemlerinde Veri Kaybını Önleme (DLP) Çözümlerini etkinleştirin.
Bizi Linkedin’den takip edebilirsiniz, heyecanGünlük Siber Güvenlik güncellemeleri için Facebook