Saldırganlar, YouTube ve Google arama sonuçlarını kötüye kullanarak korsan ve crackli yazılım indirmeye ilgi duyan kişileri hedef alıyor.
Trend Micro’dan araştırmacılar, video paylaşım platformundaki, tehdit aktörlerinin “rehber” gibi davranarak izleyicileri video açıklamalarını veya yorumlarını okumaya teşvik etmek için yasal yazılım yükleme eğitimleri sunduğu ve daha sonra sahte yazılım indirmelerine yönelik bağlantılar ekledikleri etkinliği ortaya çıkardı. kötü amaçlı yazılımlara yol açabileceğini ortaya çıkardılar son blog yazısı.
Araştırmacılar, Google’da saldırganların, meşru indiriciler gibi görünen ancak gerçekte bilgi hırsızlığı yapan kötü amaçlı yazılımları da içeren bağlantılara sahip korsan ve kırık yazılımlar için arama sonuçları ektiğini söyledi.
Trend Micro araştırmacıları Ryan Maglaque, Jay Nebre ve Allixon Kristoffer Francisco ayrıca, aktörlerin “kötü amaçlı yazılımlarının kaynağını gizlemek ve algılamayı ve kaldırmayı daha zor hale getirmek için genellikle Mediafire ve Mega.nz gibi saygın dosya barındırma hizmetlerini kullandıklarını” yazdı. postalamak.
Kampanyaya Dahili Kaçınma ve Tespit Önleme Sistemi
kampanya benzer görünüyor yaklaşık bir yıl önce ortaya çıkan ve yayılan birine Lumma Hırsızı Silahlandırılmış YouTube kanalları aracılığıyla şifreler ve kripto para birimi cüzdan verileri gibi hassas bilgileri çalmak için yaygın olarak kullanılan bir hizmet olarak kötü amaçlı yazılım (MaaS). O dönemde kampanyanın devam edeceği düşünülüyordu.
Trend Micro, kampanyaların ilişkili olup olmadığından bahsetmemiş olsa da, son dönemdeki etkinlik, yayılan kötü amaçlı yazılımların çeşitliliği ve gelişmiş kaçınma taktiklerinin yanı sıra kötü amaçlı Google arama sonuçları açısından çıtayı yükseltmiş gibi görünüyor.
Araştırmacılar, saldırganlar tarafından yayılan kötü amaçlı indirmelerin genellikle parola korumalı ve kodlanmış olduğunu, bunun da sanal alanlar gibi güvenlik ortamlarında analizi zorlaştırdığını ve kötü amaçlı yazılımların erken tespitten kaçmasına izin verdiğini belirtti.
Araştırmacılar, enfeksiyondan sonra, indiricilerde gizlenen kötü amaçlı yazılımın, kimlik bilgilerini çalmak için Web tarayıcılarından hassas veriler topladığını ve bunun “kişisel bilgilerinizi bilmeden sahte yazılım indirerek ifşa etmenin ciddi risklerini” gösterdiğini yazdı.
Lumma’ya ek olarak, YouTube’da yayınlanan bağlantılarda sahte yazılım indirmeleri yoluyla dağıtıldığı gözlemlenen diğer bilgi hırsızlığı yapan kötü amaçlı yazılımlar arasında PrivateLoader, MarsStealer, Amadey, Penguish ve vidararaştırmacılara göre.
Araştırmacılar, kampanyanın genel olarak insanların YouTube ve dosya paylaşım hizmetleri gibi platformlara duyduğu güveni istismar ettiğini yazdı; Bunun özellikle popüler programlar için yasal yükleyiciler indirdiklerini düşünen korsan yazılım arayan kişileri etkileyebileceğini söylediler.
GitHub Kampanyasının Tonları
Kampanyanın ardındaki düşünce, yakın zamanda GitHub’un kötüye kullanıldığı tespit edilen, saldırganların geliştiricilerin platforma olan güvenini istismar ettiği düşünceye de benziyor. Remcos RAT’ı gizle GitHub deposu yorumlarında.
Araştırmacılar, saldırı vektörü farklı olsa da kötü amaçlı yazılımların yayılmasında yorumların büyük rol oynadığını açıkladı. Gözlemledikleri saldırılardan birinde, bir video gönderisinin ücretsiz bir “Adobe Lightroom Crack” reklamı yaptığı iddia ediliyor ve yazılım indiricisine bağlantı içeren bir yorum yer alıyor.
Bağlantıya erişildiğinde YouTube’da ayrı bir gönderi açılıyor ve sahte yükleyicinin indirme bağlantısı ortaya çıkıyor. Bu da, bilgi hırsızlığı yapan kötü amaçlı yazılım içeren kötü amaçlı dosyanın Mediafire dosya barındırma sitesinden indirilmesine yol açıyor.
Trend Micro tarafından keşfedilen başka bir saldırı, kötü amaçlı bir sahte yükleyici dosyasına kısaltılmış bir bağlantı yerleştirdi. Açık DenizAutodesk indirmesi için yapılan aramanın üçüncü sonucu olarak NFT pazarı.
Araştırmacılar, “Giriş, asıl bağlantıya yönlendiren kısaltılmış bir bağlantı içeriyor” diye yazdı. “Bir varsayım, kazıma sitelerinin indirme bağlantısına erişmesini önlemek için kısaltılmış bağlantılar kullanmalarıdır.”
Bağlantı, kullanıcıdan gerçek indirme bağlantısını ve zip dosyasının şifresini ister, çünkü muhtemelen “dosyaların şifreyle korunması, ilk dosyanın varışta sanal alan analizinin önlenmesine yardımcı olabilir, bu da bir rakip için hızlı bir kazanç olabilir” dediler.
Kuruluşunuzu Kötü Amaçlı Yazılımlardan Koruyun
Tehdit faaliyetinin de gösterdiği gibi, saldırganlar kurbanları hedeflemek için sosyal mühendislik taktikleri kullanmaya devam ediyor ve güvenlik savunmalarından kaçınmak için büyük yükleyici dosyaları, parola korumalı zip dosyaları, yasal web sitelerine bağlantılar ve bunların kopyalarını oluşturmak da dahil olmak üzere çeşitli yöntemler uyguluyor. Araştırmacılar, dosyaların zarar görmeyecek şekilde yeniden adlandırıldığını belirtti.
Araştırmacılar, bu saldırılara karşı savunma yapmak için kuruluşların “mevcut tehditler konusunda güncel kalması ve tespit ve uyarı sistemleri konusunda tetikte kalması” gerektiğini yazdı. “Görünürlük önemlidir çünkü yalnızca tespite güvenmek birçok kötü niyetli etkinliğin fark edilmemesine neden olabilir.”
Çalışan eğitimiGüvenlik uzmanlarının sıklıkla belirttiği gibi, çalışanların sosyal mühendislik saldırılarına kanmamalarını veya korsan yazılım indirmeye çalışmamalarını sağlamada da uzun bir yol kat ediyor.
