Ciberseguridad 360 | Malware Lumma Stealer se oculta en videos pirateados de YouTube

Los actores de amenazas est�n recurriendo a v�deos de YouTube con contenido relacionado a software crackeado para atraer a los usuarios a descargar un malware ladr�n de informaci�n llamado Lumma.

"Estos v�deos de YouTube suelen incluir contenido relacionado con aplicaciones crackeadas, presentando a los usuarios gu�as de instalaci�n similares e incorporando URL maliciosas a menudo acortadas mediante servicios como TinyURL y Cuttly", explic� Cara Lin, investigadora de Fortinet FortiGuard Labs, en un an�lisis publicado el lunes.

No es la primera vez que los v�deos de software pirateado en YouTube se convierten en un cebo eficaz para el malware ladr�n. Anteriormente se observaron cadenas de ataque similares que distribu�an robos, clippers y malware de minado de criptomonedas.

De este modo, las amenazas pueden aprovechar las m�quinas comprometidas no s�lo para robar informaci�n y criptomonedas, sino tambi�n para abusar de los recursos para la miner�a il�cita.

En la �ltima secuencia de ataque documentada por Fortinet, a los usuarios que buscan versiones crackeadas de herramientas leg�timas de edici�n de v�deo como Vegas Pro en YouTube se les pide que hagan clic en un enlace situado en la descripci�n del v�deo, que conduce a la descarga de un instalador falso alojado en MediaFire.

El instalador ZIP, una vez descomprimido, incluye un acceso directo de Windows (LNK) que se hace pasar por un archivo de instalaci�n que descarga un cargador .NET desde un repositorio de GitHub, el cual, a su vez, carga la carga �til del ladr�n, no sin antes realizar una serie de comprobaciones antim�quina virtual y antidepuraci�n.

Lumma Stealer, escrito en C y puesto a la venta en foros clandestinos desde finales de 2022, es capaz de recolectar y filtrar datos confidenciales a un servidor controlado por un actor.

El desarrollo se produce cuando Bitdefender advirti� de ataques de secuestro de secuencias en YouTube en los que los ciberdelincuentes se apoderan de cuentas de alto perfil a trav�s de ataques de phishing que despliegan el malware RedLine Stealer para desviar sus credenciales y cookies de sesi�n y, en �ltima instancia, promover diversas estafas criptogr�ficas.

Tambi�n sigue al descubrimiento de una campa�a AsyncRAT de 11 meses de antig�edad que emplea se�uelos de phishing para descargar un archivo JavaScript ofuscado que luego se utiliza para soltar el troyano de acceso remoto.

"Las v�ctimas y sus empresas se seleccionan cuidadosamente para ampliar el impacto de la campa�a", explica Fernando Mart�nez, investigador de AT&T Alien Labs. "Algunos de los objetivos identificados gestionan infraestructuras clave en Estados Unidos".

Fuente: thehackernews.com