Los atacantes se dirigen a personas interesadas en descargas de software pirateado y descifrado abusando de los resultados de búsqueda de YouTube y Google.
Los investigadores de Trend Micro descubrieron actividad en la plataforma para compartir videos, donde los malos actores se hacen pasar por “guías” que ofrecen tutoriales de instalación de software legítimos para engañar a los espectadores para que lean las descripciones o comentarios de los videos, donde luego incluyen enlaces a descargas de software falsas que conducen a malware, revelaron en un publicación de blog reciente.
En Google, los atacantes están sembrando resultados de búsqueda de software crackeado y crackeado con enlaces a lo que parecen ser descargadores legítimos, pero en realidad también incluyen malware para robar información, dijeron los investigadores.
Además, los actores “a menudo utilizan servicios de alojamiento de archivos de buena reputación como Mediafire y Mega.nz para disfrazar el origen de su malware y dificultar la detección y eliminación”, escribieron Ryan Maglaque, Jay Nebre y Allixon Kristoffer Francisco, investigadores de Trend Micro, en el informe. . trabajo.
Evasiva y antidetección integradas en la campaña
la campaña parece ser parecido al que surgió hace aproximadamente un año y se extendió ladrón de lumma – malware como servicio (MaaS) comúnmente utilizado para robar información confidencial, como contraseñas y datos de billeteras de criptomonedas, a través de canales de YouTube armados. En ese momento se creía que la campaña estaba en marcha.
Si bien Trend Micro no especificó si las campañas estaban relacionadas, en todo caso, la actividad reciente parece estar subiendo la apuesta en términos de la variedad de malware que se lanza y las tácticas de evasión avanzadas, así como la adición de resultados de búsqueda maliciosos en Google.
Las descargas maliciosas distribuidas por los atacantes a menudo están protegidas con contraseña y encriptadas, lo que dificulta su análisis en entornos de seguridad como sandboxes y permite que el malware evada la detección temprana, señalaron los investigadores.
Después de la infección, el malware que se esconde en los descargadores recopila datos confidenciales de los navegadores web para robar credenciales, lo que demuestra “los graves riesgos de exponer su información personal al descargar software fraudulento sin saberlo”, dijeron los investigadores.
Además de Lumma, otros programas maliciosos de robo de información observados distribuidos a través de descargas de software falsas en enlaces publicados en YouTube incluyen PrivateLoader, MarsStealer, Amadey, Pennish y vidarsegún los investigadores.
En general, la campaña explota la confianza que la gente tiene en plataformas como YouTube y los servicios para compartir archivos, escribieron los investigadores; Esto puede afectar particularmente a las personas que buscan software pirateado y piensan en descargar instaladores legítimos para programas populares, dijeron.
Matices de una campaña de GitHub
La idea detrás de la campaña también es similar a una encontrada recientemente en GitHub, en la que los atacantes explotaron la confianza que los desarrolladores tienen en la plataforma para ocultar la RAT Remcos en los comentarios del repositorio de GitHub.
Aunque el vector de ataque es diferente, los comentarios juegan un papel importante en la propagación del malware, explicaron los investigadores. En un ataque que observaron, una publicación de video afirma anunciar un “Adobe Lightroom Crack” gratuito e incluye un comentario con un enlace al descargador de software.
Al acceder al enlace, se abre una publicación separada en YouTube, que revela el enlace de descarga del instalador falso, que conduce a la descarga del archivo malicioso que comprende malware que roba información desde el sitio de alojamiento de archivos Mediafire.
Otro ataque descubierto por Trend Micro colocó un enlace abreviado a un archivo de instalación falso malicioso de Mar abiertoel mercado NFT, como tercer resultado de una búsqueda de descargas de Autodesk.
“La entrada contiene un enlace abreviado que redirige al enlace real”, escribieron los investigadores. “Una hipótesis es que utilizan enlaces acortados para evitar que los sitios de scraping accedan al enlace de descarga”.
El enlace solicita al usuario el enlace de descarga real y la contraseña para el archivo zip, probablemente porque “la protección con contraseña de los archivos puede ayudar a evitar el aislamiento del archivo inicial cuando llega, lo que puede ser una victoria rápida para un oponente”, señalaron.
Proteja su organización del malware
Como muestra la actividad de amenazas, los atacantes continúan utilizando tácticas de ingeniería social para atacar a sus víctimas y aplicar varios métodos para eludir las defensas de seguridad, que incluyen: el uso de archivos de instalación de gran tamaño, archivos zip protegidos con contraseña, conexiones a sitios web legítimos y la creación de copias de archivos. y cambiarles el nombre para que parezcan inofensivos, anotaron los investigadores.
Para defenderse de estos ataques, las organizaciones deben “mantenerse informadas sobre las amenazas actuales y permanecer atentas a los sistemas de detección y alerta”, escriben los investigadores. “La visibilidad es importante porque depender únicamente de la detección puede hacer que muchas actividades maliciosas pasen desapercibidas”.
Formación de empleadosComo suelen señalar los expertos en seguridad, también contribuye en gran medida a garantizar que los empleados no caigan en ataques de ingeniería social ni intenten descargar software pirateado.