YouTube, la grande piattaforma di intrattenimento video, purtroppo è diventata anche un rifugio redditizio per i criminali informatici. I ricercatori di sicurezza informatica di FortiGuard Labs infatti hanno scoperto una nuova minaccia che sfrutta i canali YouTube per diffondere Lumma Stealer attraverso software pirata.
Lumma Stealer
Lumma Stealer, scritto in linguaggio C e promosso in forum clandestini, è un tipo di malware in grado di rubare informazioni sensibili degli utenti, prendere di mira i dati di sistema, browser e crypto fondi. Il malware per eludere il rilevamento e l’analisi, utilizza diverse tecniche di offuscamento e stabilisce anche una comunicazione con un server C2 per lo scambio di istruzioni e dei dati rubati. La telemetria Fortiguard ha rilevato inoltre una presenza a livello globale dei server C2 di Lumma Stealer (Italia compresa) con un picco delle attività osservato lo scorso mese di dicembre.
Le fasi d’attacco
La ricerca FortiGuard Labs dettaglia le fasi dell’attacco spiegandone il modus operandi. La campagna malware prevede che gli attaccanti compromettano gli account degli YouTuber per caricare video che sponsorizzano la condivisione di software pirata.
In realtà, gli utenti ignari vengono indotti a scaricare da siti di condivisione file MediaFire (un servizio di condivisione di file e archiviazione cloud) un archivio .ZIP (“installer_Full_Version_V.1f2.zip”) contenente un file .lnk che tramite PowerShell scarica un loader .NET (Installer-Install-2023_v0y.6.6.exe”) da un repository GitHub per le fasi successive dell’attacco.
“I video sono stati caricati all’inizio di quest’anno, ma i file sul sito di condivisione file ricevono aggiornamenti regolari e il numero di download continua a crescere. Ciò indica che il file ZIP è sempre nuovo e che questo metodo diffonde efficacemente malware.“, spiega Cara Lin nel rapporto.
Loader e rilascio payload
Il codice PowerShell del loader .NET a sua volta si connette ai repository GitHub scaricando dati binari crittografati da indirizzi IP di server scelti in base alla valutazione della data del sistema (176[.]113[.]115[.]224 in esempio). Dopo aver decrittografato i dati utilizzando AES CBC e una decompressione GZip lo script ottiene una DLL per la fase successiva (“Agacantwhitey.dll”) che rilascia il payload Lumma Stealer dopo aver effettuato dei controlli anti-VM e anti-debug preventivi.
Conclusioni
Negli ultimi anni non è la prima volta che canali Youtube sono stati sfruttati per diffondere malware e coinvolti in truffe per rubare fondi in criptovaluta, si pensi alla recente minaccia Stream-Jacking che ha distribuito il malware Redline o all’infostealer scoperto dai ricercatori ASEC nel 2020 nascosto nel videogame sparatutto “Valorant”. Gli utenti devono pertanto prestare sempre la massima attenzione ai alle fonti dei download garantendo che vengano utilizzate applicazioni legittime provenienti da origini affidabili. Lumma Stealer, una nota minaccia alle credenziali degli utenti, viene promossa attivamente sul dark web e sui canali Telegram dal 2022.