Cyberprzestępcy prowadzą wyrafinowaną kampanię złośliwego oprogramowania (malware) skierowaną przeciwko twórcom YouTube, wykorzystując fałszywe propozycje współpracy marketingowej. Atakujący wysyłają wiadomości phishingowe podszywające się pod znane marki, a złośliwy kod ukrywają w plikach oznaczonych jako dokumenty biznesowe, przesyłanych przez zabezpieczone hasłem linki OneDrive.
Kluczowe elementy kampanii:
- Początkowy wektor ataku: Automatyczne zbieranie (scraping) adresów email z kanałów YouTube
- Metoda dostarczenia: Wiadomości phishingowe z linkami do chronionych archiwów w OneDrive
- Wdrożenie malware: Wieloetapowy proces wykorzystujący skrypty AutoIt i wstrzykiwanie procesów (process injection)
- Zakres kradzieży danych: Dane uwierzytelniające, pliki cookies, zawartość schowka, dostęp systemowy
- Infrastruktura: Sieć 340+ serwerów SMTP, 46+ punktów dostępowych RDP, 26+ proxy SOCKS5
Złośliwe oprogramowanie wykorzystuje zaawansowane techniki maskowania, w tym wielopoziomową kompresję, nazwy legalnych plików oraz wstrzykiwanie procesów. Po zainfekowaniu systemu, malware nawiązuje połączenie z serwerami Command & Control (C2) w celu eksfiltracji skradzionych danych.
Analiza techniczna wiąże kampanię z malware Lumma Stealer. Zgromadzone wskaźniki kompromitacji (IOCs) potwierdzają użycie zautomatyzowanych narzędzi do masowej dystrybucji, pozwalających atakować setki potencjalnych ofiar każdego dnia.
Źródło:
https://www.cloudsek.com/blog/how-threat-actors-exploit-brand-collaborations-to-target-popular-youtube-channels