I ricercatori di FortiGuard Labs hanno scoperto un gruppo di minacce che utilizza i canali YouTube per distribuire una variante dello stealer Lumma attraverso video. Lumma Stealer, noto per mirare a informazioni sensibili, come credenziali utente, dettagli del sistema, dati del browser ed estensioni, è stato originariamente pubblicizzato sul dark web e su un canale Telegram dal 2022. Il malware è supportato da oltre una dozzina di server di comando e controllo (C2) e ha subito numerosi aggiornamenti per migliorare la sua efficacia nel tempo.
I video compromessi su YouTube solitamente presentano contenuti legati ad applicazioni crackate, presentando agli utenti guide di installazione e incorporando URL dannosi spesso accorciati attraverso servizi come TinyURL e Cuttly. Gli attaccanti, per evitare le tradizionali liste nere dei filtri web, preferiscono sfruttare piattaforme open source come GitHub e MediaFire, evitando così di implementare server dannosi di propria creazione.
Per diffondere il malware, gli aggressori compromettono gli account di YouTuber e caricano video che spiegano agli utenti come scaricare e installare versioni crack di software. Gli utenti sono invitati a scaricare il software attraverso un link nella descrizione del video; tuttavia, l’URL contiene uno ZIP malevolo. Una volta estratto, questo file esegue un file LNK che a sua volta avvia una PowerShell, scaricando infine un file .NET che installa il payload malevolo di Lumma Stealer.
Sebbene molti di questi video siano stati caricati all’inizio dell’anno, il sito web linkato continua ad aggiornare regolarmente i file, indicando che il metodo di diffusione del malware mantiene la sua efficacia nel tempo. Il file ZIP di installazione funge da esca, attirando gli utenti a cliccare senza esitazione, inducendoli a scaricare il malware.
Il file .NET che installa Lumma Stealer è dotato di capacità di offuscamento, rendendolo più resistente ai controlli di sicurezza. Può accedere a parametri di sistema e configurare proprietà per il processo del malware, operando in modo discreto. Inoltre, il malware verifica la presenza di sandbox, macchine virtuali e strumenti di sicurezza, interrompendo immediatamente le attività se rileva tali contromisure.
Gli esperti in sicurezza sottolineano l’importanza di evitare il download di software crackato e di optare sempre per applicazioni provenienti da fonti sicure e affidabili.
https://www.fortinet.com/blog/threat-research/lumma-variant-on-youtube
