Los actores de amenazas están recurriendo a videos de YouTube que presentan contenido relacionado con software descifrado para atraer a los usuarios a descargar un malware ladrón de información llamado Lumma.
«Estos vídeos de YouTube suelen presentar contenido relacionado con aplicaciones crackeadas, presentando a los usuarios guías de instalación similares e incorporando URL maliciosas a menudo acortadas utilizando servicios como TinyURL y Cuttly», dijo Cara Lin, investigadora de Fortinet FortiGuard Labs. dicho en un análisis del lunes.
Esta no es la primera vez que los vídeos de software pirateados en YouTube se convierten en un cebo eficaz para el malware ladrón. Previamente cadenas de ataque similares eran observado entregando malware ladrones, cortapelos y criptomineros.
Al hacerlo, los actores de amenazas pueden aprovechar las máquinas comprometidas no sólo para robar información y criptomonedas, sino también abusar de los recursos para la minería ilícita.
En la última secuencia de ataque documentada por Fortinet, a los usuarios que buscan versiones crackeadas de herramientas legítimas de edición de video como Vegas Pro en YouTube se les solicita que hagan clic en un enlace ubicado en la descripción del video, lo que lleva a la descarga de un instalador falso alojado en MediaFire.
El instalador ZIP, una vez descomprimido, presenta un acceso directo de Windows (LNK) que se hace pasar por un archivo de instalación que descarga un cargador .NET desde un repositorio de GitHub, que, a su vez, carga la carga útil del ladrón, no sin antes realizar una serie de medidas antivirtuales. controles de máquina y anti-depuración.
Ladrón de lummasescrito en C y ofrecido a la venta en foros clandestinos desde finales de 2022, es capaz de recopilar y exfiltrar datos confidenciales a un servidor controlado por un actor.
El desarrollo llega como Bitdefender. prevenido de ataques de secuestro de transmisiones en YouTube en los que los ciberdelincuentes se apoderan de cuentas de alto perfil mediante ataques de phishing que implementan el malware RedLine Stealer para desviar sus credenciales y cookies de sesión y, en última instancia, promover diversas estafas criptográficas.
También sigue al descubrimiento de una campaña AsyncRAT de 11 meses de antigüedad que emplea señuelos de phishing para descargar un archivo JavaScript ofuscado que luego se utiliza para eliminar el troyano de acceso remoto.
«Las víctimas y sus empresas son cuidadosamente seleccionadas para ampliar el impacto de la campaña», afirma Fernando Martínez, investigador de AT&T Alien Labs. dicho. «Algunos de los objetivos identificados gestionan infraestructuras clave en EE.UU.»