趋势科技的一项调查研究发现,为了尽可能传播恶意软件,攻击者正利用Youtube评论区、谷歌搜索等渠道提供其恶意下载链接。
研究人员称,为了增加其恶意内容的可信度,攻击者以一些热门Youtube频道为目标,其中一些频道拥有数十万订阅者。这些受感染的频道声称提供破解版的高级软件或游戏,并在视频描述或评论中提供带有安装指南的下载链接。
在谷歌上,攻击者正积极创建盗版和破解软件的搜索结果,并带有指向看似合法下载器的链接,其中暗藏信息窃取软件。
经检测,这些破解软件包含了以Lumma Stealer为主的信息窃取木马,一旦安装在受害者的系统上,就会搜集浏览器中保存的账户密码、密货币钱包信息、信用卡详细信息、受害者桌面截图等敏感数据。
攻击者使用 Mediafire 和 Mega.nz 等合法文件托管服务来托管恶意负载,通过利用这些信誉良好的平台,安全软件检测和阻止这些威胁变得更加困难。此外,许多恶意下载都受密码保护和编码,使得安全沙箱中的分析更加复杂,并允许恶意软件逃避早期检测。
除了 Lumma,研究人员观察到的其他信息窃取恶意软件包括 PrivateLoader、MarsStealer、Amadey、Penguish 和 Vidar。
与利用GitHub的恶意活动具有相似性
这一攻击活动手法与之前利用GitHub 的活动相似,攻击者利用开发人员对平台的信任将 Remcos RAT恶意软件隐藏在 GitHub 存储库评论中。
研究人员解释称,尽管攻击媒介不同,但评论在传播恶意软件方面发挥着重要作用。在他们观察到的一次攻击中,一个视频帖子声称提供破解的Adobe Lightroom ,并包含一条带有软件下载器链接的评论。访问该链接后,YouTube 上会打开一个单独的帖子,显示虚假安装程序的下载链接,该链接导致从 Mediafire 文件托管站点下载恶意文件,其中包括信息窃取恶意软件。
研究人员指出,眼下的趋势,攻击者会继续使用社会工程策略来瞄准受害者,并应用各种方法来避免安全防御,包括:使用大型安装程序文件、受密码保护的 zip 文件、连接到合法网站,以及创建看起来是合法软件的的恶意脚本。
