Atuantes maliciosos estão recorrendo a vídeos do YouTube que apresentam conteúdo relacionado a softwares crackeados para atrair usuários a baixar um malware chamado Lumma, que rouba informações.
"Esses vídeos do YouTube normalmente apresentam conteúdo relacionado a aplicativos crackeados, apresentando aos usuários guias de instalação semelhantes e incorporando URLs maliciosos normalmente encurtados usando serviços como TinyURL e Cuttly", disse a pesquisadora do Fortinet FortiGuard Labs, Cara Lin, em uma análise na segunda-feira.
Esta não é a primeira vez que vídeos de softwares pirateados no YouTube surgem como uma isca eficaz para malwares.
Anteriormente, cadeias de ataque semelhantes foram observadas entregando ladrões, clippers e malwares mineradores de criptomoedas.
Ao fazê-lo, os atuantes maliciosos conseguem aproveitar as máquinas comprometidas não só para o roubo de informações e criptomoedas, mas também para abusar dos recursos para mineração ilícita.
Na sequência de ataque mais recente documentada pela Fortinet, usuários em busca de versões crackeadas de ferramentas legítimas de edição de vídeo, como Vegas Pro, são levados a clicar em um link no vídeo, levando ao download de um instalador falso hospedado no MediaFire.
O instalador ZIP, após descompactado, apresenta um atalho do Windows (LNK) disfarçado de um arquivo de instalação que baixa um carregador .NET de um repositório do GitHub, que, em seguida, carrega o payload do ladrão, mas não antes de realizar uma série de verificações anti-máquinas virtuais e anti-depuradores.
O Lumma Stealer, escrito em C e oferecido para venda em fóruns clandestinos desde o final de 2022, é capaz de colher e extrair dados sensíveis para um servidor controlado por atores.
O desenvolvimento surge como um alerta da Bitdefender de que ataques de stream-jacking no YouTube, nos quais cibercriminosos assumem o controle de contas de alto perfil por meio de ataques de phishing que implantam o malware RedLine Stealer para sifonar suas credenciais e cookies de sessão, e no final das contas promovem vários golpes de cripto.
Isso também ocorre após a descoberta de uma campanha AsyncRAT de 11 meses que emprega iscas de phishing para baixar um arquivo JavaScript ofuscado que é então utilizado para soltar o trojan de acesso remoto.
"As vítimas e suas empresas são cuidadosamente selecionadas para ampliar o impacto da campanha", disse o pesquisador do AT&T Alien Labs, Fernando Martinez.
"Alguns dos alvos identificados gerenciam infraestrutura chave nos EUA."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...