Hackers atacan a miles de YouTubers con infostealers

Iniciado por AXCESS, Diciembre 16, 2024, 04:27:22 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Diciembre 16, 2024, 04:27:22 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores de CloudSEK, una plataforma de análisis de amenazas, descubrieron que hasta 200.000 YouTubers recibieron ofertas maliciosas durante la campaña en curso.

A fecha de diciembre de 2024, el actor de amenazas había estado utilizando 340 servidores SMTP (correo electrónico), cada uno de los cuales enviaba entre 500 y 1.000 correos electrónicos de phishing desde una única dirección de correo electrónico, haciéndose pasar por marcas populares.

Las propuestas de colaboración de marca falsas ofrecen a los YouTubers una estructura de compensación basada en el recuento de suscriptores por un anuncio de 15 segundos en el próximo contenido de una plataforma. Sin embargo, los documentos, disfrazados de contratos o materiales promocionales, contienen descargadores de malware.

Los enlaces están ocultos dentro de los archivos adjuntos, como archivos de Word, PDF o Excel, que se hacen pasar por materiales promocionales, contratos o propuestas comerciales.

"Los correos electrónicos de phishing se envían desde direcciones de correo electrónico falsificadas o comprometidas, lo que los hace parecer creíbles. "Los destinatarios son engañados para que descarguen los archivos adjuntos, creyendo que son ofertas comerciales legítimas", dijo Mayank Sahariya, analista de amenazas cibernéticas de CloudSEK, en un informe.

Para evadir la detección, el actor de amenazas aloja archivos protegidos con contraseña, como archivos ZIP o RAR, en plataformas legítimas, incluido OneDrive.

Al hacer clic en el enlace, la víctima es redirigida a una plataforma legítima (OneDrive), que aloja un archivo malicioso, que entrega Lumma Stealer, un ladrón de información capaz.

"Una vez descargado, el malware puede robar información confidencial, incluidas las credenciales de inicio de sesión y los datos financieros, al mismo tiempo que otorga a los atacantes acceso remoto a los sistemas de la víctima", dijo el investigador.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los piratas informáticos utilizan la automatización

Para la campaña en curso, el actor de amenazas acumuló una gran infraestructura. Se observó que utilizaban un analizador para recopilar direcciones de correo electrónico masivas de canales de YouTube, dirigidas a creadores y organizaciones. Para automatizar el envío de correos electrónicos de phishing desde las plataformas Murena u No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, los atacantes utilizaron herramientas como Browser Automation.

Los atacantes prepararon plantillas para crear cuentas de correo electrónico temporales y mensajes de correo electrónico. Numerosas cuentas de correo electrónico se hacen pasar por entidades de relaciones públicas y medios de comunicación.

Los piratas informáticos utilizaban más de 340 servidores SMTP, más de 26 servidores proxy de red (SOCKS5) para ocultar su tráfico a través de intermediarios y más de 46 protocolos de escritorio remoto.

"Pudimos iniciar sesión en la cuenta SMTP de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta y encontramos evidencia de una campaña a gran escala, en la que el actor de amenazas envió alrededor de 500 a 1000 correos electrónicos no deseados desde una sola dirección de correo electrónico", explicó el investigador.

Los atacantes se dirigen principalmente a empresas e individuos en puestos de marketing, ventas y ejecutivos, dada su propensión a participar en promociones y asociaciones de marcas.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El ejecutable de malware, llamado "Digital Agreement Terms and Payments Comprehensive Evaluation.exe", ya está marcado como malicioso por 48 proveedores de antivirus en VirusTotal. Es capaz de verificar y potencialmente deshabilitar soluciones antivirus. Coloca dos archivos "webcams.pif" y "RegAsm.exe" en la carpeta llamada "10183" del directorio temporal. Lumma Stealer es un conocido malware de robo de información basado en suscripción que los atacantes usan para exfiltrar credenciales, billeteras de criptomonedas y otros datos del sistema.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario