印度尼西亚seo_进击者是若何经由进程 YouTube 传播恶意软件的

虽然与手动攻击比较，这种攻击办法常日被认为是很低级的，但其影响每每很大。
想要通过搜索引擎搜索破解软件来节省软件用度的用户，很可能会为自己和所属组织带来更大的丢失。

年初时就有研究职员提醒，上传到 YouTube 上与 AI 天生有关的视频表面在传播破解软件，实在是传播恶意软件。
只管 AI 天生的视频热度不才降，但这种攻击媒介仍旧可行，且会被攻击者持续利用。

传染链

攻击者首先获取对 YouTube 频道的掌握权，这些频道每每好几年没有上传过任何内容。
在历次数据透露中透露的旧凭据可能就可以访问那些被用户弃用，但实在仍处于生动状态的账户。

攻击者掌握了账户后，上传一个与该频道此前内容不符的短视频。
不同账户发布的视频风格是统一的，一样平常都是通过付费软件的破解版本来吸引受害者。

统一视频风格

类似的视频

某频道在 2012 年前上传的都是与说唱音乐有关的视频，在 2023 年 8 月反而上传了一个 Adobe Animate 破解版的视频。

Adobe Animate 破解版

这些视频有时候是利用 AI 技能天生的，利用语音转文本软件来仿照人类措辞，大多数视频都是由叠加在背景动画上的文本组成。
只管这些频道的受众规模各不相同，也没有频道的订阅者数量超过十万，但这对攻击者来说已经很有代价。
这些账户已经是大量受众的可信来源，因此传染的概率更高。

大量受众的频道

攻击者会利用各种技能来增加视频的吸引力，例如将大量与破解软件有关的标签增加到视频描述进行 SEO 投毒。
攻击者不仅针对英语国家/地区，也包含其他措辞（孟加拉语、西班牙语和印度尼西亚语等）：

SEO 投毒标签

攻击者在视频的评论区，利用其他受控账户创建一系列正面的、积极的评论，增加破解软件的可信度。
由于终极下载的文件是恶意软件并不包含承诺的文件，这些表示有效的评论显然是攻击者自己创建的。

虚假评论

视频描述里每每包含指向破解软件下载页面的 URL 地址与访问密码，攻击者常常会利用 Rebrandly 或 Bitly 等短链接手事来创建下载地址，降落被受害者疑惑的概率。
恶意软件每每支配在文件共享平台，有时候也会利用失落陷的网站。
下载后受害者利用视频描述中提到的密码打开文件，就会触发传染。

Redline

剖析时创造最多的恶意软件便是 Redline，这是一种信息窃密类恶意软件。
Redline 会盗取保存在失落陷主机上的各种敏感数据，其本身也可以用作下载器与后门。

攻击者可以借助 Redline 开展大量恶意活动，但订阅利用 Redline 恶意软件本身每月须要 100 到 150 美元，这是范例的恶意软件即做事（MaaS）产品。

Raccoon

Raccoon 也与几个被利用的账户有关，和 Redline 一样也利用恶意软件即做事模式。
Raccoon 的价格为每周 75 美元或者每月 200 美元，也会盗取失落陷主机上的各种敏感数据。

其他

这种传播媒介也是传播各种 Loader 的空想办法，例如 Vidar、Smokeloader 与 Privateloader 等。

名为 TropiCracked 的攻击者在 2022 年 6 月起就入侵了南美地区超过 800 个 YouTube 账户，攻击办法持续至今都没有重大变革。

攻击者发布的一个 YouTube 视频，宣扬供应 Microsoft Office 的破解版。

视频缩略图

上传视频的账户此前紧张发布与音乐有关的内容，上一次上传视频还是一年多前，却忽然发布了一个关于破解版 Microsoft Office 的视频。

频道的视频

根据视频描述，下载链接与密码如下所示：

下载信息

下载链接并没有直接跳转到文件共享网站，而是指向了 Telegraph 的 URL。
页面提示用户点击干系链接以访问文件共享网站，这样防止恶意链接被检出。
Telegraph 是 Telegram 在 2016 年创建的博客平台，许可在不注册的情形下发布页面，因此得到了攻击者的青睐。

重定向页面

Telegraph 的链接是在 2022 年 11 月 24 日创建的，攻击者利用该办法已经持续了数年。
用户点击就会跳转到有名文件共享平台 MediaFire 中：

下载地址

文件本身是一个 RAR 压缩文件，利用解压密码会得到 Setup.exe：

文件属性

文件属性中声称 Setup.exe 文件是合法的 Makedisk 产品，但实在是个恶意文件。

恶意样本是通过 Smart Assembly 稠浊器加壳的 .NET 程序文件：

基本信息

文件的编译韶光为 2023 年 8 月 30 日，与 MediaFire 的上传日期相同。
通过 VirusTotal 的结果剖析，该文件为 RedLine 窃密木马。
实行 Setup.exe 会触发以下缺点信息：

缺点信息

Setup.exe 实行后会调用 Visual Basic 命令行进程 vbc.exe，然退却撤退出只保留 vbc.exe 运行。

vbc.exe

查看该进程，可以创造其连接到了 C&C 做事器（95.217.14.200）：

网络连接信息

该 IP 地址位于芬兰，也被威胁情报标记为 Redline。
在 vbc.exe 运行时，会定期连接到该 IP 地址。

回连 C&C 做事器

程序依赖关系如下所示：

进程树

成功入侵的 Redline 恶意软件会盗取失落陷主机上的敏感信息，也可以下载其他恶意 Payload。

攻击根本举动步伐

攻击者大量利用小规模且廉价的根本举动步伐来打仗大量潜在受害者，虽然利用 Redline 乃至获取失落陷账户都是要费钱的，但利用 YouTube、Telegraph 和 MediaFire 都是免费的，不须要太博识的技能水平就能打仗到广泛的潜在受害者，

TropiCracked 团伙就广泛运用了这种办法，Google 创造该攻击者已经利用超过 800 个账户来投放此类视频。

各种恶意视频

攻击者针对各种付费软件都上传了不同的视频，为了覆盖探求各种软件的潜在受害者。
TropiCracked 紧张针对南美洲的西班牙语和葡萄牙语用户，也兼顾英语和韩语等其他措辞对环球用户进行攻击。
根据 VirusTotal 的数据，上传同类恶意样本的紧张来自南美洲。

TropiCracked 架构的这套轻量级架构，一旦威胁情报检出了 Paylod 攻击者也可以快速变动良行应对。
通过在 YouTube 视频和 MediaFire 下载页面间增加 Telegraph 链接便是中间的缓冲区，这样一来改换 Payload 就不再须要创建新的下载页，也不须要更新视频页面的先容信息。

最初剖析时 Setup.exe 在 8 月 30 日上传，几周后 Telegraph 改换了新的 MediaFire 链接，变成了 9 月 14 日上传的 Setup.exe 文件。

新下载页面

终极的文件名称没变，但文件本身实在已经变了。
编译日期和最新的上传日期是相同的：

文件基本信息

这次文件还试图伪装成 RadioEdition 的产品，而非之前的 Makedisk。

文件属性信息

文件的紧张功能乃至 C&C 地址都没有变，少量改动就能创建新的文件。
攻击者险些不须要额外付出什么就可以启用新的载荷，随时升级保持了攻击的时效性。

TropiCracked 团伙不仅利用 YouTube 作为紧张攻击媒介，其他类似网站也全面覆盖。
类似的攻击手腕也在西班牙语音乐共享网站上创造了：

其他网站的攻击

链接前也附加理解压的密码，描述内容掺杂意大利语和英语都是为了 SEO 投毒。

SEO 投毒

攻击者可能是利用字典创建标签，但由于粗心大意，创造的内容和上传的内容无关。

通过利用透露的凭据信息，攻击者奥妙地发起了大规模攻击，利用社交媒体的广泛传播打仗大量潜在受害者。
攻击者上传的视频有的几天后被官方删除，有的则持续数月都没有被创造。

telegra[.]ph/Download-Link-11-24-17

telegra[.]ph/Download-07-19-11

cutt[.]us/cwPtJ

bit[.]ly/Ae-crack

drop-cloud[.]org/DUajUvEL/

lorealis[.]vip/ha/ 95.217.14[.]200 4bd97df9a302f8b432031122a512b5c0eaac16c29d7c9fa3011ad38a7465be3e 0c0f10e45d6600cac802471617ede4b564429a14fb2a14c7b3e6ab6fea9bc9f6

Cybereason