此篇文章发布距今已超过1天,您需要注意文章的内容或图片是否可用!
网络犯罪分子向 YouTube 用户发送虚假的版权声明,强迫他们在视频中宣传恶意软件和加密货币矿工。攻击者利用 Windows 数据包转发 (WPD) 工具的流行度,该工具在俄罗斯的使用越来越多,因为它们可以帮助用户绕过互联网审查和政府对网站和在线服务施加的限制。迎合这一受众群体的 YouTube 创作者发布了有关如何使用各种基于 WPD 的工具绕过审查的教程,并成为冒充这些工具版权持有者的威胁行为者的目标。在卡巴斯基发现的大多数案例中,攻击者声称自己是所展示的限制绕过工具的原始开发者,向 YouTube 提出版权声明,然后联系创建者以提供下载链接的形式提供解决方案。同时,他们威胁说,不遵守规定将导致 YouTube 再遭受两次“打击”,根据该平台的
“ three strikes ” 政策,这可能会导致频道被禁。在其他情况下,攻击者会直接联系创作者,冒充工具的开发者,声称原始工具有新版本或新的下载链接,要求创作者在其视频上进行更改。创作者担心他们会失去他们的频道,于是屈服于威胁者的要求,并同意在他们的视频中添加指向托管上述 Windows 数据包转移 (WPD) 工具的 GitHub 存储库的链接。然而,这些是包含加密货币挖矿下载程序的木马版本。卡巴斯基在 YouTube 视频中看到了这种带有 WPD 工具的推广,该视频的观看次数已超过 400,000 次,恶意链接在被删除之前的下载次数也达到了 40,000 次。一个拥有 340,000 名订阅者的 Telegram 频道也以同样的伪装推广了该恶意软件。卡巴斯基警告称:“根据我们的遥测,该恶意软件活动已经影响了俄罗斯 2,000 多名受害者,但总体数字可能要高得多。”从 GitHub 存储库下载的恶意档案包含一个基于 Python 的恶意软件加载器,它通过修改后的启动脚本(“general.bat”)使用 PowerShell 启动。如果受害者的防病毒软件破坏了此过程,启动脚本就会显示“未找到文件”错误消息,建议用户禁用防病毒软件并重新下载文件。该可执行文件仅针对俄罗斯 IP 地址获取第二阶段加载器并在设备上执行。第二阶段有效载荷是另一个可执行文件,其大小被膨胀到 690 MB 以逃避防病毒分析,同时它还具有反沙盒和虚拟机检查功能。恶意软件加载程序通过添加排除项关闭 Microsoft Defender 保护,并创建名为“DrvSvc”的 Windows 服务以在重启之间保持持久性。最终,它下载最终有效载荷 SilentCryptoMiner,这是 XMRig 的修改版本,能够挖掘多种加密货币,包括 ETH、ETC、XMR 和 RTM。该挖矿机每 100 分钟从 Pastebin 获取一次远程配置,以便可以动态更新。为了逃避检测,它使用进程挖空技术加载到“dwm.exe”等系统进程中,并在用户启动进程资源管理器和任务管理器等监控工具时暂停挖掘活动。尽管卡巴斯基发现的攻击活动主要针对俄罗斯用户,但同样的策略可能会被采用用于范围更广的攻击活动,同时传播信息窃取者或勒索软件等高风险恶意软件。用户应避免从 YouTube 视频或描述中的 URL 下载软件,尤其是从更容易受到诈骗和勒索的小型到中型频道下载。信息来源 :BleepingComputer
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下
还没有评论,来说两句吧...