Kyberzločinci se prostřednictvím malwarové kampaně snaží získat přístup k existujícím účtům na YouTube, které potom zneužívají pro další šíření škodlivého softwaru pro krádeže údajů Lumma.
Soubory, na které se odkazuje v popisech videí, jsou pravidelně aktualizovány. Útočníci používají fintu, aby se vyhnuli zařazení na blacklisty a blokování webovými filtry: namísto odkazování přímo na vlastní škodlivé servery uživatele směrují na platformy s otevřeným zdrojovým kódem, jakými jsou GitHub nebo MediaFire. Pokud se jimi uživatel nechá oklamat, stáhne si do svého zařízení nový zavaděč, který posléze provede načtení finálního malwaru Lumma Stealer.
Lumma Stealer se zaměřuje na krádeže citlivých informací, včetně uživatelských pověření, systémových údajů, dat uložených v prohlížečích a instalovaných rozšíření. Děje se tak především prostřednictvím oblíbené služby pro streaming videí YouTube. Je napsán v jazyce C.
Pozor na ovládnuté kanály YouTube, šířící Lumma Stealer
Lumma je škodlivý kód, který shromažďuje informace z infikovaných systémů a předává je na server ovládaný útočníkem. Podle informací bezpečnostních expertů operuje na internetu minimálně dvanáct takových serverů. Kromě už uvedených typů dat Lumma shromažďuje také přístupové údaje k internetovému bankovnictví a kryptopeněženkám.
Malware nabízejí jeho strůjci na darknetu a vyhrazeném kanálu komunikátoru Telegram.
V poslední době se Lumma Stealer vyznačoval především tím, že jako jeden z prvních malwarů dokázal znovu aktivovat a zneužít již expirované relační cookie, a to zneužitím služby Google OAuth Multilogin. Vzhledem ke své vysoké míře rizika, kdy útočníci mohou získat trvalý přístup k účtům, je s podivem, že tato zranitelnost stále existuje a ještě nebyla záplatována.
Mohlo by vás zajímat
Rady jak se nákaze tímto nebezpečným malwarem vyhnout, jsou spíš obecného charakteru. Jde především o zvýšenou opatrnost v případech, kdy jde o nejasné zdroje aplikací. Také se vyplatí neinstalovat na své zařízení software pochybného původu, zvlášť pokud láká na software nebo obsah, který může být zpoplatněný, chráněny autorským právem nebo zpřístupňuje služby, které jsou bez splnění konkrétních podmínek zamčené. Je dobré používat pouze legitimní aplikace renomovaných poskytovatelů a bezpečného původu.
Zdroj: Fortinet, DarkReading