威胁者正利用包含 Lumma 和 Vidar 等信息窃取恶意软件的虚假下载器,以搜索盗版或破解软件的用户为目标。
攻击者正通过滥用YouTube和谷歌搜索结果,瞄准对盗版和破解软件下载感兴趣的用户。 趋势科技的研究人员在最近的一篇博文中披露,他们在视频共享平台上发现了这种活动,威胁者冒充 "向导",提供合法的软件安装教程,引诱观众阅读视频描述或评论,然后在其中加入指向恶意软件的虚假软件下载链接。
研究人员说,在谷歌上,攻击者在盗版和破解软件的搜索结果中加入了看似合法的下载链接,但实际上也包含了窃取信息的恶意软件。 此外,攻击者 "经常使用 Mediafire 和 Mega.nz 等信誉良好的文件托管服务来隐藏恶意软件的来源,从而增加检测和清除的难度",趋势科技研究人员 Ryan Maglaque、Jay Nebre 和 Allixon Kristoffer Francisco 在博文中写道。
活动中内置了规避和反检测功能 该活动似乎与大约一年前出现的通过武器化 YouTube 频道传播 Lumma Stealer(一种恶意软件即服务 (MaaS),通常用于窃取密码和加密货币钱包数据等敏感信息)的活动相似。 虽然趋势科技没有提及这两个活动是否有关联,但如果有关联的话,最近的活动似乎在传播的恶意软件种类和高级规避策略方面都有所提高,而且还增加了恶意谷歌搜索结果。
研究人员指出,攻击者传播的恶意下载通常都有密码保护和编码,这使得在沙箱等安全环境中的分析变得复杂,并允许恶意软件逃避早期检测。 研究人员写道:"感染后,潜伏在下载器中的恶意软件会从网络浏览器中收集敏感数据以窃取凭证,这表明 "在不知情的情况下下载欺诈软件暴露个人信息的严重风险"。
据研究人员称,除 Lumma 外,还观察到其他通过 YouTube 上发布的链接下载虚假软件传播的信息窃取型恶意软件,包括 PrivateLoader、MarsStealer、Amadey、Penguish 和 Vidar。 研究人员写道,总体而言,该活动利用了人们对 YouTube 和文件共享服务等平台的信任;他们说,这尤其会影响那些寻找盗版软件的人,因为他们以为自己下载的是流行程序的合法安装程序。
GitHub 活动的影子 该活动背后的思路也与最近发现的滥用 GitHub 的活动类似,攻击者利用开发者对该平台的信任,将 Remcos RAT 隐藏在 GitHub 软件仓库的评论中。 研究人员解释说,虽然攻击载体不同,但评论在传播恶意软件方面发挥着重要作用。 在他们观察到的一次攻击中,一个视频帖子声称在为免费的 "Adobe Lightroom破解版 "做广告,并包含一个带有软件下载链接的评论。 访问该链接后,YouTube上的一个单独帖子就会打开,显示假冒安装程序的下载链接,从而从Mediafire文件托管网站下载包含信息窃取恶意软件的恶意文件。
趋势科技发现的另一种攻击是在搜索 Autodesk 下载的第三个结果中植入一个指向 NFT 市场 OpenSea 的恶意伪装安装程序文件的缩短链接。
"研究人员写道:"该条目包含一个缩短链接,可重定向到实际链接。 "该链接会提示用户输入实际下载链接和压缩文件密码,这可能是因为 "对文件进行密码保护有助于防止在文件到达后对初始文件进行沙箱分析,而沙箱分析对对手来说可能是一个快速制胜法宝"。
保护您的组织免受恶意软件的攻击 研究人员指出,从威胁活动中可以看出,攻击者继续使用社交工程策略来锁定受害者,并采用各种方法来躲避安全防御,包括:使用大型安装文件、受密码保护的压缩文件、与合法网站的连接,以及创建文件副本并重新命名以显示其无害。 研究人员写道,为了抵御这些攻击,组织应该 "随时了解当前威胁的最新情况,并对检测和警报系统保持警惕"。 研究人员写道:"可见性非常重要,因为仅仅依靠检测可能会导致许多恶意活动被忽视。"正如安全专家经常指出的那样,员工培训对于确保员工不会遭受社会工程攻击或试图下载盗版软件也大有裨益。
信息来源:https://www.darkreading.com/threat-intelligence/cyberattackers-infostealers-youtube-comments-google-search
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局