未知攻击者劫持Youtube账户传播信息窃取程序

AhnLab 安全情报中心 (ASEC) 最近确认，攻击者利用 YouTube 传播恶意软件的案例数量正在增加。攻击者不是简单地创建 YouTube 帐户并传播恶意软件，而是劫持现有的著名 YouTube 帐户并传播恶意软件。确诊病例中，有订阅人数超过80万的病例。

图 1. 从拥有超过 800,000 名订阅者的 YouTube 帐户上传的恶意软件

滥用 YouTube 的攻击者主要传播信息窃取程序。从2020年RedLine infostealer滥用YouTube的案例开始，最近确认的案例，包括Vidar和LummaC2，都是infostealer恶意软件。

1.利用YouTube传播恶意软件案例

传播恶意代码的方式有多种，但最具代表性的例子是滥用网络服务。一般来说，用户下载的程序可能是正常程序，也可能是游戏破解、破解、注册机等非法程序。攻击者创建一个伪装成上传这些程序的网页并上传恶意代码。结果，用户通过下载和执行恶意代码而不是所需的程序而被感染。

除了文件共享网站 之外，用于以这种方式传播恶意软件的网页还包括受感染的网站和博客。但是，YouTube 也可用于传播恶意软件，因为 YouTube 不仅可以将恶意软件下载链接附加到视频，还可以附加到描述和评论。因此，自 2020 年以来，攻击者一直在传播RedLine 、BlackGuard和 RecordBreaker等信息窃取恶意软件。

过去，订阅者数量并不多，因为人们创建了自己的 YouTube 帐户并上传视频，但在 2023 年的 RecordBreaker 分发案例中，确认订阅者超过 10 万的帐户被黑客入侵并分发。近期，利用这种方式进行攻击的案例不断增加，已有超过80万订阅者的账户被黑。被攻击的 YouTube 账户多种多样，包括歌手、体育影响者以及宗教和动画主题的频道。

图 2. YouTube 帐户成为攻击目标

2. 攻击中使用的恶意代码

攻击手段都大同小异，上传破解Adobe等正常程序的视频，并在文字或评论中附上下载链接。所有恶意代码都会上传到 MediaFire 并采用受密码保护的压缩文件的形式。这似乎是为了绕过安全产品的检测。当您解压缩压缩文件时，会识别出伪装成安装文件的恶意代码。

图 3. YouTube 视频文本和评论中的恶意代码链接

2.1.Vidar恶意软件

以下是伪装为Vidar恶意软件的安装文件，与过去分发LummaC2 infostealer的案例相同。一般来说，用户将运行的“Set-up.exe”文件是Edge的“identity_helper.exe”，这是一个普通文件。然而，当该文件执行时，它会加载位于同一路径中的“msedge_elf.dll”文件，这是恶意软件的修补形式。修补正常“msedge_elf.dll”部分代码的恶意代码在执行过程中会解密位于同一路径的“berley.asp”和“complot.ppt”文件，并将它们用作实际恶意代码的shellcode和有效负载。

图 4. 包含 Vidar 恶意软件的安装文件

此外，在某些情况下，它的分发方式与过去的 RecordBreaker infostealer 分发案例类似。该方法的特点是故意将文件大小增大到800MB左右并进行分发，以绕过安全产品的检测。当然，故意添加的有效负载具有一定的模式，因此实际的压缩文件比这个小。在下面的示例中，您可以看到“Setup.exe”的大小从 800 MB 压缩后减少到 8 MB。

图 5. 大尺寸 Vidar 恶意软件

由于C&C服务器地址相同，这两个分发案例被认为是同一攻击者所为。 Vidar 利用 Telegram 和 Steam 社区与 C&C 服务器进行通信。如下所示，每个配置文件中都指定了实际C&C服务器的地址，并通过引用该地址连接到实际C&C服务器并窃取所收集的信息。

图 6. Vidar 滥用 Telegram 和 Steam

2.2. LummaC2 信息窃取者

以下是包含 LummaC2 恶意软件的安装文件。与上述 Vidar 恶意软件案例相比，没有任何特殊特征，伪装成安装文件的可执行文件本身就是恶意软件。

图 7. 包含 LummaC2 恶意软件的安装文件

LummaC2是一款近期活跃传播的信息窃取恶意软件，主要通过伪装成商业程序破解进行传播。[9]与 Vidar、Azorult、RedLine 和 AgentTesla 等常见的信息窃取恶意软件一样，它会从网络浏览器、电子邮件和 FTP 客户端窃取帐户信息，还会窃取屏幕截图和加密货币钱包文件。

三、结论

最近，已确认攻击者入侵著名 YouTube 帐户并传播 Vidar 和 LummaC2 恶意软件的案例。这些恶意软件都是信息窃取者，它们收集和窃取受感染系统中存储的各种用户信息，并且还可以下载和安装其他恶意软件。

被攻击的账户有时拥有超过 800,000 名订阅者，允许用户在没有太多怀疑的情况下安装恶意软件。攻击者通常会掩盖商业程序中的漏洞。

由于恶意代码可以通过各种平台安装，因此您应避免下载非法程序，养成使用正版软件的习惯，避免使用可疑网站或P2P。另外，您必须小心，通过将V3更新到最新版本来提前防止恶意软件感染。

文件诊断

– Trojan/Win.Evo-gen.C5558850 (2023.12.05.01)
– Malware/Win.Generic.R642292 (2024.03.30.01)
– Infostealer/Win.Vidar.R642530 (2024.04.01.02)
– Infostealer/Win.Vidar.C5603574 (2024.03.21.03)
– Data/BIN.Encoded (2024.04.01.02)

行为诊断

– Injection/MDP.Hollowing.M4180

IOC

MD5

– af273f24b4417dce302cf1923fb56c71 : Vidar Loader (msedge_elf.dll)
– 0c9c366aa9938df153c406db65debe82 : Encoded Data (berley.asp)
– dae50482d640385a5665272cd1f716df : Encoded Data (complot.ppt)
– e8201c07fcb62107a91411c55c261fab : Vidar (Setup.exex)
– 2414085b0a5bf49d9658f893c74cf15e : LummaC2 (Adobe_Activator.exe)
– cd0338fffaebc9cbc50a435868397e96 : LummaC2 (Update-setup.exe)

C&C 服务器

– hxxps://steamcommunity[.]com/profiles/76561199658817715 : Vidar
– hxxps://t[.]me/sa9ok : Vidar
– hxxps://78.47.221[.]177 : Vidar
– hxxps:/ /95.216.176[.]246:5432 : Vidar
– hxxps://interferencesandyshiw[.]shop/api : LummaC2
– hxxps://chokepopilarvirusew[.]shop/api : LummaC2
– hxxps://pillowbrocccolipe[.]shop /api : LummaC2
– hxxps://communicationgenerwo[.]shop/api : LummaC2
– hxxps://diskretainvigorousiw[.]shop/api : LummaC2
– hxxps://affordcharmcropwo[.]shop/api : LummaC2
– hxxps:/ /dismissalcyclonehostw[.]shop/api : LummaC2
– hxxps://enthusiasimtitleow[.]shop
/api : LummaC2 – hxxps://worryfillvolcawoi[.]shop/api : LummaC2
– hxxps://cleartotalfisherwo[.]shop/api :LummaC2

参考链接： https://asec.ahnlab.com/ko/63697/

图片来源网络侵权可联系删除