“ClickFlix Technique” olarak adlandırılan sofistike bir kimlik avı kampanyası, görünüşte meşru marka işbirliği talepleri aracılığıyla YouTube içerik oluşturucularını hedeflemeyi hedefledi.
Bu yeni saldırı vektörü, kötü amaçlı yazılım yüklerini ortaklık belgeleri olarak gizleyerek içerik oluşturucuların sponsorluk anlaşmalarını güvence altına alma hevesini kullanıyor.
Siber suçlular, e -posta veya sosyal medya yoluyla iletişim başlatır ve yerleşik markalardan pazarlama temsilcileri olarak, içerik oluşturucunun tehlikeye atılmış alanlarda veya bulut depolama alanlarında barındırılan “kampanya materyallerini” gözden geçirmesini gerektiren kazançlı fırsatlar sunar.
Saldırganlar genellikle yaratıcıları 10.000 ila 500.000 arasında abone sayılarıyla yaklaşırlar, yaratıcının içerik stiline ve güvenilirlik oluşturmak için önceki sponsorluklara atıfta bulunan mesajlar dikkatlice hazırlar.
Kötü niyetli bağlantıları tıkladıktan sonra, içerik oluşturucular, bir PDF sözleşmesi veya kampanya özeti gibi görünen şeyi indirmeleri istenen popüler dosya paylaşım hizmetlerini taklit eden profesyonel görünümlü açılış sayfalarına yönlendirilir.
CloudSek araştırmacıları, bu kampanyayı Mart 2025’in başlarında belirledi ve kötü amaçlı yazılımın geleneksel güvenlik çözümlerinden kaçınmak için tasarlanmış çok aşamalı bir enfeksiyon süreci kullandığını belirtti.
.webp)
Analizleri, 2.300’den fazla yaratıcının oyun, teknoloji incelemesi ve yaşam tarzı nişleri boyunca hedeflendiğini ve hedeflerin yaklaşık% 18’inin başarıyla tehlikeye atıldığını ortaya koydu.
Saldırı, sosyal mühendislik ilkelerini teknik aldatma ile birleştirerek, genellikle yaratıcıları aceleci kararlara baskı yapmak için zamana duyarlı teklifler de dahil.
Mağdurlar, ürettikleri belirli videolara atıfta bulunan özelleştirilmiş mesajlar aldığını ve teması başlatmadan önce tehdit aktörlerinin önemli keşif çabalarını gösterdiğini bildiriyor.
Enfeksiyon mekanizması JavaScript Gizlemesi’nden yararlanır
Kötü amaçlı yazılımın birincil enfeksiyon vektörü, kurbanlar standart bir HTML önizleme sayfası gibi görünen şeyi açtığında yürütülen sofistike bir JavaScript indiricisi kullanır.
.webp)
Başlangıç yükü, son aşama bu basitleştirilmiş örneğe benzeyen birden fazla gizleme katmanı kullanır:-
const decoderKey = navigator.userAgent.slice(0,8);
eval(function(p,a,c,k,e,d){
/* heavily obfuscated PowerShell downloader */
return p;
}('powershell -w hidden -e JGNsaWVudCA9...'))Bu gizlenmiş kod nihayetinde, YouTube stüdyo kimlik bilgilerine, Google kimlik doğrulama jetonlarına ve kripto para birimi cüzdan bilgilerine özellikle vurgu yaparak tarayıcı verilerini hedefleyen bir Stealer hedefleme verilerini indiren bir PowerShell komutunu tetikler.
Kötü amaçlı yazılım, rutin sistem denetimleri sırasında algılamayı önlemek için Windows kayıt defteri değişiklikleri ve “GoogleUpdatetask” gibi zararsız adlara sahip planlanmış görevler yoluyla kalıcılık oluşturur.
Saldırı, para kazanma potansiyelleri ve etkileşimli kitle ağlarına erişim nedeniyle değerli hedefleri giderek daha fazla temsil eden içerik yaratıcılarına karşı hedeflenen kampanyaların artan sofistike olduğunu göstermektedir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free