Повеќе од 200.000 Јутјубери добија лажни понуди за договори со познати брендови.
На повеќе од 200.000 Јутјубери им се понудени партнерства и промоции, а зад оваа тековна кампања, која беше откриена од истражувачите на платформата за анализа на закани CloudSEK, стои некој со огромна автоматизирана инфраструктура што ги злоупотребува познатите брендови во чие име на креаторите на содржини на YouTube им нуди лажни договори. Жртвите завршуваат без сметка на YouTube.
Од почетокот на декември, напаѓачите користеле 340 SMTP (e-mail) сервери, од кои секој испратил околу 500 до 1000 фишинг-мејлови од една адреса на е-пошта, лажно претставувајќи ги популарните брендови.
Во предлозите за соработка со брендови, на јутјуберите им се ветува надоместок според бројот на претплатници за реклама од 15 секунди во претстојната содржина на платформата. Сепак, документите, кои се претставуваат како договори или промотивен материјал, содржат преземања на малициозен софтвер.
Врските се скриени во прилозите, како што се датотеките Word, PDF или Excel, кои изгледаат како промотивни материјали, договори или деловни предлози.
„Фишинг-мејловите се испраќаат од лажни или компромитирани адреси на е-пошта, што ги прави да изгледаат веродостојни. Примателите се намамени да ги преземаат приложените датотеки, верувајќи дека се легитимни деловни понуди“, се наведува во извештајот на CloudSEK.
За да избегнат откривање, напаѓачите хостираат фајлови заштитени со лозинка, како што се ZIP или RAR архиви, на легитимни платформи, како што е OneDrive. Кога ќе кликне на врската, жртвата се пренасочува на легитимна платформа (OneDrive), која содржи датотека во која се крие Lumma Stealer, малициозен софтвер кој краде податоци од заразен уред. Lumma Stealer е добро познат малвер кој го користат напаѓачите кои плаќаат претплата за да го користат за ексфилтрација на лозинки, крипто-паричници и други податоци од системот.
„Откако ќе се преземе, малициозниот софтвер може да украде чувствителни информации, вклучително и логирање и финансиски податоци, додека на напаѓачите им дозволува далечински пристап до системите на жртвата“, предупредија истражувачите.
Напаѓачите главно ги таргетираат бизнисите и вработените на маркетинг, продажба и извршни позиции.
Извршната датотека на малициозниот софтвер, наречена „Digital Agreement Terms and Payments Comprehensive Evaluation.exe“, е означена како злонамерен софтвер од 48 продавачи на антивируси на VirusTotal. Сепак, малициозниот софтвер може да се провери и оневозможи со антивируси.