要点
Proofpoint 发现多个 YouTube 频道通过推广破解和盗版视频游戏及相关内容来传播恶意软件。
视频描述包含可下载信息窃取程序的链接。
该活动可能针对的是家庭计算机上无法享受企业级安全优势的消费者用户。
概述
威胁行为者通常以家庭用户为目标,因为与企业相比,他们没有相同的资源或知识来防御攻击者。虽然经济收益可能不如对公司的攻击那么大,但个人受害者可能仍然在其计算机上存储信用卡、加密货币钱包和其他个人身份信息 (PII) 等数据,这对犯罪分子来说可能是有利可图的。
Proofpoint Emerging Threats 观察到信息窃取恶意软件(包括 Vidar、StealC 和 Lumma Stealer)以盗版软件和视频游戏破解为幌子通过 YouTube 传播。这些视频旨在向最终用户展示如何免费下载软件或升级视频游戏等操作,但视频描述中的链接会导致恶意软件。许多托管恶意视频的帐户似乎已被盗用或以其他方式从合法用户处获取,但研究人员也观察到可能是由攻击者创建和控制的帐户,这些帐户仅活跃几个小时,专门为传播恶意软件而创建。第三方研究人员此前曾发布过有关用于传播恶意软件的虚假破解软件视频的详细信息。
由于威胁行为者似乎宣传的视频游戏类型,这种分发方法尤其值得注意。其中许多似乎是针对年轻用户,包括受儿童欢迎的游戏,而儿童群体不太可能识别恶意内容和危险的在线行为。
在我们的调查过程中,Proofpoint Emerging Threats 报告了超过 20 个帐户和视频向 YouTube 传播恶意软件,而 YouTube 删除了这些内容。
示例账户
以下是用于传播恶意软件的可疑受感染帐户(或可能出售给新的“内容创建者”)的示例。可疑被盗或以其他方式获取帐户的指标包括发布的视频之间的显着时间间隔、与之前发布的视频有很大不同的内容、语言差异以及包含可能恶意链接的视频描述等指标。
该帐户拥有约 113,000 名订阅者,该帐户显示灰色复选标记,表示帐户所有者已满足经过验证的频道要求,包括验证其身份。
一个经过验证的 YouTube 帐户示例,拥有大量关注者,疑似遭到泄露
当 Proofpoint 研究人员识别该帐户时,该帐户的大部分视频都是一年或更长时间前发布的,并且所有视频的标题都是泰语。然而,当该帐户被识别时,24 小时内发布了十二 (12) 个新的英语视频,所有视频都与流行视频游戏和软件破解有关。所有新的视频描述都包含恶意内容的链接。其中一些视频的观看次数超过 1,000 次,可能是机器人人为增加的,以使视频看起来更合法。
疑似受感染的 YouTube 帐户的屏幕截图,该帐户正在传播比较上传日期的恶意软件
在一个示例中,一段视频声称包含一款流行视频游戏的角色增强功能,并在说明中包含 MediaFire 链接。 MediaFire URL 指向一个受密码保护的文件 (Setup_Pswrd_1234.rar),其中包含一个可执行文件 (Setup.exe),如果执行该文件,则会下载并安装 Vidar Stealer 恶意软件。
该视频在我们调查前七 (7) 小时上传到疑似被盗的帐户。大约在视频发布的同时,一些评论声称证明了该软件破解的合法性。这些帐户和评论很可能是由视频上传者或其合作者创建的,目的是为了证明恶意链接的真实性。
视频描述包含指向 Vidar Stealer 的 MediaFire URL
对视频的评论旨在确认 URL 的合法性
在上传到不同帐户的视频的另一个示例中,视频描述更加详细。该描述包含一个也导致 Vidar Stealer 的恶意 MediaFire URL,以及一些其他提示。这是一个常见示例,其中包含有关如何禁用 Windows Defender 或其他防病毒产品的说明。视频创作者承诺“文件完全干净”,这确实灌输了很多信任(讽刺)!
视频说明的屏幕截图,其中包含禁用防病毒软件的说明
冒充Empress
Proofpoint 发现了多个声称传播 Empress 视频游戏破解程序的视频。 Empress 是软件盗版界众所周知的实体。在一个例子中,一名用户声称在视频共享平台上分发破解的《英雄联盟》内容。视频描述包含一个 Telegram URL,该 URL 指向包含如何下载内容的说明的帖子,以及一个 MediaFire URL,该 URL 指向包含可执行文件的 RAR 存档。该文件被命名为“empress.exe”,似乎来自流行的软件盗版资源,并且看起来是“合法的”。
YouTube 描述广告 empress.exe
Empress 视频的电报链接
所识别的使用“Empress”主题的视频包含有关如何下载和安装该文件(实际上是 Vidar Stealer 恶意软件)的视觉说明,以便受害者轻松遵循。
恶意软件详细信息和 C2 活动
在所有观察到的通过包含 MediaFire URL 的 YouTube 视频到受密码保护的压缩可执行文件分发恶意软件的案例中,.rar 文件很小,但压缩的有效负载始终扩展到 800 MB 左右。这可能表明可执行文件中存在大量填充。这是一种常见的防病毒/沙箱规避技术,因为许多工具不会扫描大文件。
在十六进制编辑器中打开文件证实了这一评估,因为您可以在有效负载的很大一部分中看到大量重复的十六进制字节。
在十六进制编辑器中识别的重复字节
沙箱爆炸显示有效载荷是 Vidar。 Vidar 使用社交媒体和社区论坛接收命令和控制 (C2) 指令,包括 Telegram、Steam 社区和 Tumblr。在所有情况下,C2 帐户都是使用用户名或帐户描述创建的,其中包含一组字母数字字符,后跟以竖线结尾的 IP 地址。
在之前识别的“empress.exe”文件的示例中,Steam 和 Telegram C2 样本都具有不同的 C2 IP 目标,但具有相同的前导标识符“got4a”。
Steam C2 简介
Telegram C2 简介
检索到 C2 IP 地址后,我们在三秒内观察到标准 Vidar/StealC C2 活动。
Vidar Stealer C2 签入 PCAP
使用社交平台进行 C2 可能会使恶意软件隐藏在网络流量中,因为与这些网站的连接可能不会立即显得可疑。
Discord服务器分布
另一种通过 YouTube 视频描述进行有效负载分发的方法与 MediaFire URL 不同,是 Discord URL。 Proofpoint 观察到威胁参与者创建并管理一个 Discord 服务器,该服务器针对每个游戏都有不同的恶意软件。视频描述中的 Discord 链接会将用户引导至 Discord 频道,该频道托管可供下载的文件,并包含有关如何下载和安装这些文件的说明。
YouTube 视频描述包含 Discord 链接
该链接指向威胁行为者发布的 Discord 帖子
Discord 服务器上的另一篇帖子指示用户禁用防病毒软件才能下载游戏作弊程序。
有关如何下载游戏作弊程序(包括禁用防病毒软件)的说明
Discord 服务器上有多个文件可供下载,它们与不同的视频游戏相关联。上述帖子导致“valoskin.zip”是一个压缩的可执行文件,该可执行文件会导致恶意软件。最终,该服务器上的有效负载交付了 Lumma Stealer。这是来自可执行文件的一些 C2 流量的屏幕截图。
Lumma C2 流量 – 由新兴威胁 SID 2049836 检测到
值得注意的是,Discord 服务器管理员似乎每隔几周就会更新一次有效负载。
当新的“作弊”发布时,Discord 服务器管理员发布的帖子
“支持”的游戏列表
结论
Proofpoint 观察到多个不同的活动集群通过 YouTube 分发信息窃取者,并且并未将该活动归因于所跟踪的威胁参与者或组织。然而,所使用的技术是相似的,包括使用视频描述来托管导致恶意负载的 URL,并提供有关禁用防病毒软件的说明,以及使用相似的文件大小和膨胀来尝试绕过检测。根据视频内容、有效负载传输和欺骗方法的相似性,Proofpoint 评估参与者始终针对非企业用户。
Proofpoint 目前无法了解已识别的 YouTube 帐户可能是如何受到损害的,并且 YouTube 已迅速删除 Proofpoint 研究团队报告的帐户。
最终用户应该了解威胁行为者用来诱使用户参与视频游戏内容的技术,这些内容旨在帮助他们作弊或绕过付费功能。
IOC
Emerging Threats signatures
Vidar
2036316, 2038523, 2038524, 2049203, 2038525, 2035873, 2043334, 2033066, 2044788, 2025431, 2035911, 2029236, 2034813, 2047626, 2047627, 2044245, 2044244, 2044246, 2044249, 2044248, 2044247, 2049087, 2036667, 2033163, 2036654, 2049253, 2047625, 2044243, 2851826, 2853039, 2853038, 2842708, 2855525, 2841407, 2841237, 2841406
Lumma
2050952, 2050957, 2050996, 2050999, 2051473, 2051480, 2051544, 2051547, 2051551, 2051555, 2051470, 2051477, 2051545, 2051548, 2051549, 2051553, 2050953, 2050958, 2050974, 2050976, 2051552, 2051556, 2050955, 2050960, 2051482, 2051483, 2049958, 2049959, 2050998, 2051001, 2050956, 2050961, 2048936
参考链接: https://www.proofpoint.com/us/blog/threat-insight/threat-actors-deliver-malware-youtube-video-game-cracks
图片来源网络侵权可联系删除
