Hakeri ciljaju YouTube video snimke prvenstveno radi ‘finansijske dobiti’ i da iskoriste ogromnu bazu publike na platformi.
Otimanjem popularnih kanala, hakeri mogu distribuisati ‘maliciozne veze’ i ‘prevarne’ sadržaje maskirajući se u “originalne kreatore” kako bi prevarili svoje pretplatnike.
Nedavno su analitičari kibernetičke sigurnosti u Kaspersky Labu otkrili da hakeri aktivno koriste
YouTube video zapise za isporuku sofisticiranog zlonamjernog softvera.
Sofisticirani maliciozni softver putem YouTube videa
Hakeri režirali su sofisticiranu kampanju rudarenja kriptovaluta 2022. godine koja je prvenstveno ciljala na „korisnike koji govore ruski“ putem razrađene „mreže za distribuciju malicioznog softvera“.
Napadači su koristili više vektora napada („SEO manipulacija rezultatima Yandex pretrage“, „narušeni Telegram kanali“ i „oteti YouTube računi“) kako bi distribuisali maliciozne datoteke prerušene u popularne softverske pakete poput „uTorrent“, „Microsoft Office“ i „ Minecraft.’
Dok je lanac zaraze započeo s „MSI datotekama zaštićenim lozinkom“ koje su sadržavale „VBScript“ koje su pokrenule „slijed napada u više faza“.
Ovo je uključivalo eskalaciju privilegija na „nivo SISTEM“, koristeći „AutoIt skripte“ skrivene unutar legitimnog digitalno potpisanog „DLL-a“.
To je tehnika koja čuva valjanost potpisa dok skriva “maliciozni kod”.
Maliciozni softver je uspostavio postojanost putem više mehanizama kao što su “WMI filteri događaja”, “izmjene registra” (posebno ciljajući “Opcije izvršavanja datoteke slike”, “Debugger” i “MonitorProcess keys”) i zloupotrebu otvorenog koda “Wazuh SIEM agent ” za daljinski pristup.
Napadači su implementirali sofisticirane tehnike izbjegavanja odbrane („proces udubljenja kroz explorer.exe“, „provjere protiv otklanjanja grešaka“ i „manipulacija datotečnim sistemom pomoću posebnih imena direktorija zasnovanih na GUID-u“) kako bi sakrili maliciozne komponente.
Konačni korisni teret je raspoređen “SilentCryptoMiner”, koji je konfigurisan za rudarenje kriptovaluta fokusiranih na privatnost poput ‘Monero’ i ‘Zephyr’, dok implementira ‘stealth mehanizme’ zasnovane na procesu kako bi se izbjeglo otkrivanje, rekao je Kaspersky .
Maliciozni softver je također prikupljao sistemsku telemetriju (uključujući “specifikacije CPU-a”, “detalje GPU-a”, “verziju OS-a” i “informacije o antivirusu”) i prenosio je putem API-ja za Telegram bot, s nekim varijantama koje uključuju mogućnosti otmice međuspremnika posebno ciljanih na “ adrese novčanika za kriptovalute.”
Osim što je ciljala ruske korisnike (87,63%), ova zlonamjerna kampanja ciljala je i korisnike iz “Bjelorusije”, “Indije”, “Uzbekistana”, “Kazahstana”, “Njemačke”, “Alžira”, “Češke”, “Mozambika” i ” Turska.”
Ovdje su haekri dizajnirali svoju strategiju distribucije putem „narušenih web stranica“, „manipuliranih YouTube videa“ i „Telegram kanala“ kako bi ciljali korisnike koji traže „krekovani softver“, „prevare za igre“ i „besplatne verzije vrhunskog softvera“. .’
Ovi korisnici su bili posebno ranjivi jer su često voljno onemogućavali mjere zaštite i sigurnosti AV alata kako bi instalirali „nezvanični softver“.
Sofisticiranost napada bila je jasna u njegovoj „modularnoj strukturi“, gdje su različite komponente korisnog opterećenja mogle biti dinamički učitane na osnovu ciljeva aktera prijetnje.
Ovo ilustruje kako masovne kampanje mogu uključiti složene tehnike napada na nivou preduzeća, a da pritom održavaju “nevidljivost” putem naprednih “metoda zamagljivanja” i “antianaliznih karakteristika”.
Izvor: CyberSecurityNews