YouTube已成黑客跳板!利用破解软件传播Lumma Stealer信息窃取木马

admin
admin
admin
102932
文章
87
评论
2024年1月9日18:14:12评论34 views字数 2589阅读8分37秒阅读模式
Fortinet的FortiGuard实验室的网络安全研究人员发现了新一波的网络威胁,恶意威胁者利用YouTube频道通过破解软件传播臭名昭著的Lumma Stealer。研究人员调查的恶意软件活动涉及YouTube视频,这些视频伪装了与破解应用程序相关的内容,引导用户找到带有隐藏恶意URL的安装指南,通常使用TinyURL和Cuttly等服务缩短的恶意URL。与众不同的是攻击者的规避技术,利用GitHub和MediaFire(一种文件共享和云存储服务)等开源平台来规避传统的Web过滤器黑名单。特制的安装ZIP文件充当有效的诱饵,利用用户安装应用程序的意图,促使他们毫无怀疑地点击恶意文件。攻击者使用配备环境检查、反虚拟机措施和反调试功能的私有.NET加载程序。Lumma Stealer是一种针对敏感信息(例如用户凭据、系统详细信息、浏览器数据和扩展程序)的著名信息窃取木马,自2022年以来一直在暗网和Telegram频道上积极扩散。在周二(1月8日)发布之前与Hackread.com分享的博客文章研究中,FortiGuard Labs详细介绍了攻击的复杂阶段,更深入地挖掘了威胁组织所采用的策略。

YouTube已成黑客跳板!利用破解软件传播Lumma Stealer信息窃取木马

Lumma Stealer简介 
LummaC2 v4.0是用C语言编写的。该信息窃取器自2022年12月发布以来经历了重大更新,包括实施控制流扁平化混淆(这使得代码难以理解/分析)、使用XOR进行字符串加密而不是添加垃圾字符串(这使得逆向工程变得更加困难)恶意软件或了解其功能),以及反沙箱技术(延迟恶意软件的执行,直到检测到鼠标活动)。
LummaC2 v4.0还支持从其C2服务器提取动态配置文件,以接收适应不同情况的指令。它对所有构建都使用加密器,这为恶意软件添加了新的保护层。这些变化表明恶意软件开发人员正在专注于逃避检测和分析。
研究人员发现LummaC2 v4.0窃取程序使用三角学来评估光标移动,以在激活之前检测人类行为。这是一种新颖的反沙箱技术,恶意软件使用GetCursorPos()函数捕获光标的初始位置,并等待300毫秒来检查光标移动。如果位置发生变化,恶意软件会捕获另外5个位置,每次捕获之间会有50毫秒的延迟。然后,它确保每个捕获的位置都与其前一个位置不同。

YouTube已成黑客跳板!利用破解软件传播Lumma Stealer信息窃取木马

这可以防止恶意软件在沙箱环境中激活自身,因为它们模仿静态光标位置。三角计算允许恶意软件分析捕获的光标位置并检测人类行为模式等。此外,销售LummaC2 v4.0 的威胁行为者不鼓励分发未经更改的恶意软件样本,以保持对其使用的控制并避免广泛检测。
反分析技术已成为网络安全的持续威胁,这种新颖的反沙箱技术对安全分析工具提出了重大挑战,因为它针对的是自动鼠标模拟的局限性。
初始突破感染机制
恶意软件活动的作案手法包括攻击者破坏YouTube用户的帐户并上传看似合法破解软件共享的视频。
下一步,毫无戒心的用户会被引诱从文件共享站点下载ZIP文件,该文件携带恶意内容以用于下一阶段的攻击。这些文件的定期更新表明攻击者正在不断修改其方法以有效传播恶意软件。

YouTube已成黑客跳板!利用破解软件传播Lumma Stealer信息窃取木马

值得注意的是,该活动还涉及使用私有 .NET 加载程序,这是一种隐藏工具,它创建一组特殊的指令以确保其运行代码而不被检测到。该脚本依次连接到GitHub存储库,并从根据系统日期评估选择的服务器下载加密的二进制数据。
此外,负责解码Lumma Stealer有效负载的DL 文件会进行广泛的环境检查以逃避分析。这包括反虚拟机和反调试措施,以及对虚拟化平台和沙箱环境的审查 - 简而言之:Lumma Stealer具有逃避反恶意软件解决方案检测的功能。
YouTube已成黑客跳板!利用破解软件传播Lumma Stealer信息窃取木马
屏幕截图显示,两个受感染的YouTub 频道积极宣传破解软件,从而导致Lumma Stealer感染(图片来源:Fortinet Labs)。
在新的活动中,一旦Lumma Stealer感染设备,它就会继续寻找受害者的浏览器数据。它通过访问加密钱包窃取各种类型的信息,例如登录凭据、个人详细信息、财务信息和加密货币资金。此外,它还针对其他数据,包括浏览器扩展。
结论及建议
在这类攻击中,恶意攻击者以YouTube频道为目标来传播Lumma Stealer。精心设计的安装ZIP文件可作为传递有效负载的有效诱饵,利用用户安装应用程序的意图并提示他们毫不犹豫地单击安装文件。整个计划中来自开源网站的URL旨在降低用户防范意识。攻击者进一步部署具有环境检查、各种反虚拟机(Anti-VM)和反调试功能的私有.NET加载程序。用户必须谨慎对待不明确的应用程序来源,并确保使用来自信誉良好且安全的来源的合法应用程序。FortiGuard Antivirus检测并阻止了本报告中描述的恶意软件,如下所示:W32/Stealer.QLD!tr,MSIL/Agent.WML!tr,MSIL/Kryptik.BJF!tr,LNK/Agent.WML!tr。
YouTube作为一个伟大的娱乐平台而闻名,不幸的是也成为了网络犯罪分子利润丰厚的避风港。多年来,谷歌旗下的网站见证了主要恶意软件感染和加密相关诈骗的激增。
2023年10月,研究人员报告了一种名为Stream-Jacking的新威胁,该策略旨在在直播期间传播 Redline 恶意软件以窃取加密货币资金。考虑到2020年,由于恶意软件和加密货币相关诈骗的流行不断升级,谷歌采取了删除200万个频道和5100 个视频的行动,情况的严重性就显而易见了。
尽管如此,随着威胁行为者继续为Lumma Steale 配备新的恶意功能,研究者敦促用户保持警惕,特别是在处理来源不明的应用程序时,确保使用来自信誉良好且安全来源的合法应用程序和软件。

参考资源
1、https://www.hackread.com/youtube-channels-hacked-lumma-stealer-software/
2、https://www.fortinet.com/blog/threat-research/lumma-variant-on-youtube
3、https://www.hackread.com/lummac2-v4-0-malware-trigonometry-detect-humans/

原文始发于微信公众号(CNCERT国家工程研究中心):YouTube已成黑客跳板!利用破解软件传播Lumma Stealer信息窃取木马

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年1月9日18:14:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   YouTube已成黑客跳板!利用破解软件传播Lumma Stealer信息窃取木马https://cn-sec.com/archives/2378832.html

发表评论

匿名网友 填写信息