Penyerang telah menyebarkan varian Lumma Stealer melalui Youtube saluran yang menampilkan konten yang terkait dengan peretasan aplikasi populer, menghindari filter Web dengan menggunakan platform sumber terbuka seperti GitHub dan MediaFire alih-alih menggunakan server jahat berpemilik untuk mendistribusikan malware.

Para peneliti di FortiGuard mengatakan kampanye tersebut memang demikian mirip dengan serangan ditemukan Maret lalu yang menggunakan kecerdasan buatan (AI) untuk menyebarkan tutorial langkah demi langkah tentang cara menginstal program seperti Photoshop, Autodesk 3ds Max, AutoCAD, dan lainnya tanpa lisensi.

“Video YouTube ini biasanya menampilkan konten yang terkait dengan aplikasi yang diretas, menyajikan panduan instalasi serupa kepada pengguna, dan menyertakan URL berbahaya yang sering kali dipersingkat menggunakan layanan seperti TinyURL dan Cuttly,” tulis Cara Lin, analis senior Fortinet. dalam posting blog diterbitkan 8 Januari oleh Fortinet.

Tautan yang dibagikan dalam video menggunakan layanan pemendekan tautan seperti TinyURL dan Cuttly, dan mengarah ke pengunduhan langsung pemuat .NET pribadi baru yang bertanggung jawab untuk mengambil malware terakhir, Lumma Stealer, tulisnya.

luma menargetkan informasi sensitif, termasuk kredensial pengguna, detail sistem, data browser, dan ekstensi. Malware ini telah ditampilkan pada iklan di Web Gelap dan saluran Telegram sejak tahun 2022, dengan lebih dari selusin server perintah dan kontrol di alam liar dan banyak pembaruan, menurut Fortinet.

Cara Kerja Serangan Pencuri Lumma

Serangan dimulai dengan peretas yang membobol akun YouTube dan mengunggah video yang dimaksudkan untuk berbagi tips tentang perangkat lunak yang diretas, disertai dengan deskripsi video yang menyematkan URL berbahaya. Deskripsi tersebut juga mengundang pengguna untuk mengunduh file .ZIP yang berisi konten berbahaya.

Video yang diamati oleh Fortinet diunggah awal tahun ini; namun, file-file di situs berbagi file menerima pembaruan rutin, dan jumlah unduhan terus bertambah, menunjukkan bahwa kampanye ini menjangkau para korban. “Ini menandakan bahwa file ZIP selalu baru dan metode ini efektif menyebarkan malware,” tulis Lin.

File .ZIP menyertakan file .LNK yang memanggil PowerShell untuk mengunduh file eksekusi .NET melalui repositori GitHub “Baru” milik John1323456. Dua repositori lainnya, “LNK” dan “LNK-Ex,” juga menyertakan pemuat .NET dan menyebarkan Lumma sebagai muatan akhir.

“File .ZIP instalasi yang dibuat berfungsi sebagai umpan efektif untuk mengirimkan muatan, mengeksploitasi niat pengguna untuk menginstal aplikasi dan mendorong mereka untuk mengklik file instalasi tanpa ragu-ragu,” tulis Lin.

Pemuat .NET dikaburkan menggunakan SmartAssembly, alat kebingungan yang sah. Pemuat melanjutkan dengan memperoleh nilai lingkungan sistem dan, setelah jumlah datanya benar, pemuat akan memuat skrip PowerShell. Jika tidak, proses akan keluar dari program.

Penghindaran & Perhatian Malware YouTube

Malware ini dibuat untuk menghindari deteksi: Objek ProcessStartInfo meluncurkan proses PowerShell yang pada akhirnya memanggil file DLL untuk tahap serangan berikutnya, yang memindai lingkungannya menggunakan berbagai teknik untuk menghindari deteksi. Proses ini mencakup pemeriksaan debugger; peralatan keamanan atau kotak pasir; mesin virtual; dan layanan atau file lain yang mungkin memblokir proses berbahaya.

“Setelah menyelesaikan semua pemeriksaan lingkungan, program mendekripsi data sumber daya dan memanggil 'SuspendThread; fungsi,” tulis Lin. “Fungsi ini digunakan untuk mentransisikan thread ke status 'ditangguhkan', sebuah langkah penting dalam proses injeksi muatan.”

Setelah diluncurkan, muatannya, luma, berkomunikasi dengan server perintah dan kontrol (C2) dan menyiapkan koneksi untuk mengirim kembali data terkompresi yang dicuri ke penyerang. Varian yang digunakan dalam kampanye ini ditandai sebagai versi 4.0, namun telah memperbarui eksfiltrasinya untuk memanfaatkan HTTPS agar lebih menghindari deteksi, kata Lin.

Namun, infeksi dapat dilacak. Fortinet menyertakan daftar indikator kompromi (IoC) dalam postingannya, dan menyarankan pengguna untuk berhati-hati mengenai “sumber aplikasi yang tidak jelas.” Jika orang ingin mengunduh aplikasi dari YouTube atau platform lainnya, mereka harus memastikan bahwa aplikasi tersebut berasal dari sumber yang bereputasi baik dan aman, kata Fortinet.

Organisasi juga harus menyediakan dasar pelatihan keamanan siber kepada karyawannya untuk meningkatkan kesadaran situasional tentang lanskap ancaman saat ini, serta mempelajari konsep dan teknologi dasar keamanan siber, menurut postingan tersebut. Hal ini akan membantu menghindari skenario di mana karyawan mengunduh file berbahaya ke lingkungan perusahaan.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cyberattacks-data-breaches/weaponized-youtube-channels-spread-lumma-stealer