Nekoliko YouTube kanala je kompromitovano kako bi se omogućila distribucija Lumma Stealer zlonamjernog softvera za krađu informacija putem videa koji navodno dijele krekovane verzije legitimnog softver
Kad koristite YouTube, budite na oprezu – sajber kriminalci su hakovali nekoliko naloga jutjubera i preko njih objavljuju videa kojima nude preuzimanje legitimnih (krekovanih) softvera iza čega se krije malver Lumma Stealer.
Kampanju su otkrili istraživači sajber bezbjednosti FortiGuard Labsa kompanije Fortinet koji su upozorili da sajber-kriminalci koriste legitimne ali hakovane YouTube kanale za širenje ozloglašenog Lumma Stealer malvera putem krekovanog softvera.
„YouTube video snimci obično sadrže sadržaj koji se odnosi na krekovane aplikacije, predstavljajući korisnicima vodiče za instalaciju, i uključuju zlonamjerne linkove koji se često skraćuju korišćenjem servisa kao što su TinyURL i Cuttly“, rekla je istraživač FortiGuard Labsa Kara Lin.
Ovo nije prvi put da su se video snimci o piratskom softveru na YouTube-u koriste kao mamac za širenje malvera. I ranije je bilo sličnih kampanja u kojima su se širili malveri koji kradu informacije, kao i kripto i clipper malveri. Napadači mogu da iskoriste infekcije ne samo za krađu informacija i kriptovaluta, već i za zloupotrebu resursa za rudarenje.
Napadači koriste platforme otvorenog koda kao što su GitHub i MediaFire kako bi izbjegli crne liste web filtera.
Napad je uspjeren prema korisnicima koji traže krekovane verzije popularnih softvera kao što je Vegas Pro. Link u opisu videa dovodi u iskušenje korisnika. Kad klikne na njega vodi ga do lažnog instalatera hostovanog na usluzi kao što je MediaFire. Ali prava opasnost leži unutra. Raspakovani ZIP instalater sadrži Windows prečicu maskiranu kao instalacioni fajl.
U stvari, „podešavanje“ je .lnk datoteka koja pokreće PoverShell skriptu. Zatim se dešavaju stvari iz udžbenika: skripta preuzima i pokreće podatke iz GitHub spremišta u kojoj se nalazi zlonamjerni softver.
Šta je Lumma Stealer?
Lumma Stealer je zlonamjerni softver za krađu informacija napisan u C jeziku. To je dobro poznat malver koja krade osjetljive informacije kao što su korisnička imena i lozinke i detalji o sistemu, ali i podatke iz web pregledača i ekstenzija. Malver se reklamira na Darknet tržištu i Telegram kanalima od 2022. godine putem modela Malware-as-a-Service (MaaS).
Vjeruje se da je akter prijetnje koji stoji iza ovog zlonamjernog softvera “Shamel”, koji djeluje pod pseudonimom “Lumma”. Primarni ciljevi Lumma Stealer-a su novčanici za kriptovalute i proširenja pregledača s dvofaktorskom autentifikacijom (2FA).
Kada se zlonamjerni softver infiltrira u uređaj žrtve, krade osjetljive informacije. Eksfiltrira ga na C2 server putem HTTP POST zahtjeva koristeći korisnički agent “TeslaBrowser/5.5”. Uz ove karakteristike, zlonamjerni softver takođe ima nerezidentni učitavač koji je sposoban da isporuči dodatna korisna opterećenja putem EXE, DLL-a i PowerShell-a.
Lumma Stealer ima početnu cijenu od 250 dolara mjesečno na darknet forumima. Najniži plan omogućava korisnicima da pregledaju i uploaduju dnevnike i pristup alatima za analizu dnevnika. S druge strane, najskuplji plan košta 20.000 dolara i daje korisnicima pristup izvornom kodu. Takođe im daje pravo da prodaju infokradu.
Kako se zaštititi?
Preporuka je da se suzdržite od preuzimanja i korišćenja piratskog softvera. Ovo se odnosi i na za preuzimanje sa torrent-a i na druge izvore. To je nezakonito i za kućne korisnike, a posebno za korporacije, a rizici – pa, možete ih vidjeti gore.
Ipak, možete poboljšati svoju zaštitu od zlonamjernog softvera kao što je Lumma Stealer slijedeći savjete:
- Izbjegavajte sumnjive web stranice za širenje softvera. Bez obzira na vrstu softvera koji šire, šansa za zarazu korišćenjem jednog je znatno veća. Potražite pouzdaniji izvor – to će vam uštedjeti vrijeme i novac. Da biste provjerili je li web lokacija legitimna i pouzdana, razmislite o korišćenju GridinSoft besplatnog online provjera virusa.
- Ne klikajte na sumnjive veze. Slično prethodnom savjetu, budite oprezni s vezama, posebno u e-mailovima, porukama na društvenim mrežama ili web stranicama. Sajber kriminalci se često oslanjaju na ljudsku radoznalost za širenje zlonamjernog softvera.
- Koristite zaštitu od malvera. Pouzdan anti-malver program i osigurajte da je uvijek ažuran. Može otkriti prijetnje prije nego što naškode vašem sistemu.
YouTube kao meta
YouTube koji je poznat kao odlična platforma za zabavu, nažalost je postao unosan za sajber kriminalce. Tokom godina, sajt u vlasništvu Google-a je razlog porasta infekcija malverom i prevara u vezi sa kriptovalutom.
U oktobru 2023. godine, istraživači Bitdefendera su upozorili na stream-jacking napade na YouTube-u, taktiku za širenje malvera Redline sa ciljem krađe kriptovaluta.
Kolika je ozbiljnost situacije govori to što je 2020. godine Google obrisao dva miliona kanala i 50 miliona video snimaka zbog širenja malvera i prevara u vezi sa kriptovalutama.
(IT mixer)