Dikkat! Çatlak Yazılımı Tanıtan YouTube Videoları, Lumma Stealer'ı Yayıyor

09.01.2024

Tehdit aktörleri, çatlak yazılım içeriği sunan YouTube videolarını kullanarak kullanıcıları Lumma adlı bilgi çalıcı zararlı yazılımı indirmeye yönlendirmek için yeni bir taktik kullanıyor. Fortinet FortiGuard Labs araştırmacısı Cara Lin'in analizine göre, bu videolar genellikle çatlak uygulamalarla ilgili içeriği sergiliyor ve kullanıcılara kurulum kılavuzları sağlıyor; genellikle TinyURL ve Cuttly gibi hizmetlerle kısaltılmış kötü amaçlı URL'leri içeriyor.

YouTube'daki korsan yazılım videolarını bir kandırma aracı olarak kullanmak, daha önce de görülmüş bir yöntem değil. Benzer saldırı zincirleri geçmişte çeşitli türde zararlı yazılımların, hırsızların, kesicilerin ve kripto madencilerin dağıtımını içeriyordu.

Fortinet tarafından belirtilen son saldırı dizisinde, kullanıcılar YouTube'da Vegas Pro gibi meşru video düzenleme araçlarının çatlak sürümlerini ararken video açıklamasındaki bir bağlantıya tıklamaya yönlendiriliyor. Bu bağlantı, MediaFire'da barındırılan sahte bir yükleyiciyi indirmeye yönlendirir. Bir kez açıldığında, ZIP yükleyici, bir kurulum dosyası olarak taklit edilen bir Windows kısayolu (LNK) içerir. Bu kısayol, GitHub deposundan bir .NET yükleyici indirir ve ardından Lumma çalıcı yükünü, sanal makine ve hata ayıklama karşı önlemler alarak yükler.

C diliyle yazılan ve 2022'nin sonlarından beri yeraltı forumlarda satılan Lumma Stealer, hassas verileri toplama ve tehdit aktörü tarafından kontrol edilen bir sunucuya iletim yeteneğine sahiptir.

Bu gelişme, Bitdefender'ın YouTube'da stream-jacking saldırılarına karşı uyarısıyla aynı döneme denk geliyor. Bu saldırılarda siber suçlular, yüksek profilli hesapları phishing saldırılarıyla hedef alarak RedLine Stealer zararlı yazılımını kullanıyor. Bu, kimlik bilgilerini ve oturum çerezlerini çıkarmalarına ve nihayetinde çeşitli kripto dolandırıcılıklarını teşvik etmelerine izin veriyor.

Ayrıca, 11 ay önce başlatılan bir AsyncRAT kampanyası keşfedildi. Bu kampanya, bir JavaScript dosyasını indirmek için phishing yemleri kullanarak kullanıcıları kandırmakta ve ardından uzaktan erişim truva atı kurmaktadır.