Saldırganlar Lumma Stealer’ın bir versiyonunu yayıyor Youtube Kötü amaçlı yazılımı dağıtmak için özel kötü amaçlı sunucular yerine GitHub ve MediaFire gibi açık kaynaklı platformları kullanarak Web filtrelerinden kaçan, popüler uygulamaları kırmayla ilgili içeriğe sahip kanallar.
FortiGuard’daki araştırmacılar kampanyanın saldırıya benzer Geçtiğimiz Mart ayında, Photoshop, Autodesk 3ds Max, AutoCAD ve diğerleri gibi programların lisans olmadan nasıl kurulacağına ilişkin adım adım eğitimleri yaymak için yapay zekanın (AI) kullanıldığını keşfetti.
Fortinet’in kıdemli analisti Cara Lin şunları yazdı: “Bu YouTube videoları genellikle kırılmış uygulamalarla ilgili içerikler içeriyor, kullanıcılara benzer kurulum kılavuzları sunuyor ve genellikle TinyURL ve Cuttly gibi hizmetler kullanılarak kısaltılan kötü amaçlı URL’ler içeriyor.” bir blog yazısında 8 Ocak’ta Fortinet tarafından yayınlandı.
Videolarda paylaşılan bağlantıların TinyURL ve Cuttly gibi bağlantı kısaltma hizmetlerini kullandığını ve son kötü amaçlı yazılım Lumma Stealer’ın getirilmesinden sorumlu yeni, özel bir .NET yükleyicinin doğrudan indirilmesine yol açtığını yazdı.
Lumma Kullanıcı kimlik bilgileri, sistem ayrıntıları, tarayıcı verileri ve uzantılar dahil olmak üzere hassas bilgileri hedefler. Kötü amaçlı yazılım, 2022’den beri Dark Web’deki ve bir Telegram kanalındaki reklamlarda yer alıyor ve bir düzineden fazla komuta ve kontrol sunucusu mevcut ve çoklu güncellemeFortinet’e göre.
Lumma Stealer Saldırısı Nasıl Çalışır?
Saldırı, bir bilgisayar korsanının bir YouTube hesabını ihlal etmesi ve kırık yazılımlarla ilgili ipuçlarını paylaştığı iddia edilen videoları, kötü amaçlı URL’ler içeren videoların açıklamalarıyla birlikte yüklemesiyle başlıyor. Açıklamalar aynı zamanda kullanıcıları kötü amaçlı içerik barındıran bir .ZIP dosyasını indirmeye de davet ediyor.
Fortinet’in gözlemlediği videolar bu yılın başlarında yüklendi; ancak dosya paylaşım sitesindeki dosyalar düzenli olarak güncelleniyor ve indirme sayısı artmaya devam ediyor, bu da kampanyanın mağdurlara ulaştığını gösteriyor. Lin, “Bu, ZIP dosyasının her zaman yeni olduğunu ve bu yöntemin kötü amaçlı yazılımları etkili bir şekilde yaydığını gösteriyor” diye yazdı.
.ZIP dosyası, John1323456’ya ait GitHub deposu “Yeni” aracılığıyla bir .NET yürütme dosyasını indirmek için PowerShell’i çağıran bir .LNK dosyası içerir. Diğer iki depo olan “LNK” ve “LNK-Ex” de .NET yükleyicileri içerir ve son yük olarak Lumma’yı yayar.
Lin, “Hazırlanmış kurulum .ZIP dosyası, kullanıcının uygulamayı yükleme niyetinden yararlanarak ve kullanıcıyı tereddüt etmeden kurulum dosyasına tıklamaya teşvik ederek yükü dağıtmak için etkili bir yem görevi görüyor” diye yazdı.
.NET yükleyicisi, meşru bir gizleme aracı olan SmartAssembly kullanılarak gizlenir. Yükleyici, sistemin ortam değerini alarak ilerler ve veri sayısı doğru olduğunda PowerShell betiğini yükler. Aksi takdirde işlem programdan çıkar.
YouTube Kötü Amaçlı Yazılımlardan Kaçınma ve Dikkat
Kötü amaçlı yazılım, tespit edilmekten kaçınmak için tasarlanmıştır: ProcessStartInfo nesnesi, saldırının bir sonraki aşaması için en sonunda bir DLL dosyasını çağıran ve tespitten kaçınmak için çeşitli teknikler kullanarak çevresini tarayan PowerShell işlemini başlatır. Bu süreç, hata ayıklayıcıların kontrol edilmesini içerir; güvenlik cihazları veya sanal alanlar; Sanal makineler; ve kötü amaçlı bir işlemi engelleyebilecek diğer hizmetler veya dosyalar.
Lin, “Tüm ortam kontrollerini tamamladıktan sonra program, kaynak verilerinin şifresini çözer ve ‘SuspendThread; işlevini çağırır'” diye yazdı. “Bu işlev, iş parçacığını, yük enjeksiyonu sürecinde çok önemli bir adım olan ‘askıya alınmış’ duruma geçirmek için kullanılıyor.”
Bir kez başlatıldığında, yük, Lumma, komuta ve kontrol sunucusuyla (C2) iletişim kurar ve sıkıştırılmış çalıntı verileri saldırganlara geri göndermek için bir bağlantı kurar. Lin, kampanyada kullanılan varyantın 4.0 sürümü olarak işaretlendiğini, ancak tespitten daha iyi kaçınmak için HTTPS’den yararlanacak şekilde sızmasını güncellediğini belirtti.
Ancak enfeksiyon takip edilebilir. Fortinet, gönderiye güvenlik ihlali göstergelerinin (IoC’ler) bir listesini ekledi ve kullanıcılara “belirsiz uygulama kaynakları” konusunda dikkatli olmalarını tavsiye etti. Fortinet, insanların YouTube’dan veya başka bir platformdan uygulama indirmeyi amaçlaması durumunda bunların saygın ve güvenli kaynaklardan geldiğinden emin olmaları gerektiğini belirtti.
Kuruluşlar aynı zamanda temel bilgileri de sağlamalıdır. siber güvenlik eğitimi Gönderiye göre, çalışanlarına mevcut tehdit ortamı hakkında durumsal farkındalığı artırmanın yanı sıra temel siber güvenlik kavramlarını ve teknolojisini öğrenmeleri için. Bu, çalışanların kurumsal ortamlara kötü amaçlı dosyalar indirdiği senaryoların önlenmesine yardımcı olacaktır.