الأنظمة الأساسية المتأثرة: Microsoft Windows

المستخدمون المتأثرون: Microsoft Windows

التأثير: يمكن استخدام المعلومات المجمعة لهجمات مستقبلية

مستوى الخطورة: مرتفع

اكتشفت فورتيغارد لابس FortiGuard Labs مؤخرًا مجموعة تهديد تستخدم قنوات يوتيوب لتوزيع نسخة Lumma Stealer. تتميز مقاطع فيديو يوتيوب هذه عادةً بمحتوى يتعلق بالتطبيقات المكركة، وتقدم للمستخدمين أدلة تثبيت مماثلة وتتضمن عناوين ويب URL ضارة غالبًا ما يتم اختصارها باستخدام خدمات مثل TinyURL وCuttly. 

للتحايل على القوائم السوداء المباشرة لمرشحات الويب، يستغل المهاجمون الأنظمة الأساسية مفتوحة المصدر مثل GitHub وMediaFire بدلاً من نشر خوادمهم الضارة. في هذه الحالة، تؤدي الروابط المشتركة إلى التنزيل المباشر لمحمل .NET خاص جديد مسؤول عن جلب البرنامج الضار النهائي، Lumma Stealer.

الهدف

يستهدف Lumma Stealer المعلومات الحساسة، بما في ذلك بيانات اعتماد المستخدم وتفاصيل النظام وبيانات المتصفح والإضافات. تم الإعلان عنه على الويب المظلم وقناة تيليجرام منذ عام 2022، مع أكثر من عشرة خوادم قيادة وتحكم (C2) مرصودة في بيئة الإنترنت وتحديثات متعددة.

لوما ستيلر Lumma Stealer

هو نوع من البرامج الضارة التي يمكنها سرقة معلومات حساسة من كمبيوتر المستخدم. يمكنه استهداف بيانات النظام والمتصفحات ومحافظ التشفير وملحقات المتصفح. وهو مكتوب بلغة سي C ويباع في المنتديات السرية. وللتهرب من الكشف والتحليل، فإنه يستخدم تقنيات تشويش متنوعة. تقوم البرمجيات الخبيثة بإنشاء اتصال مع خادم القيادة والتحكم، مما يسهل تبادل التعليمات ونقل البيانات المسروقة.

خاتمة

في هذا الهجوم، يستهدف الممثل الخبيث قنوات يوتيوب لنشر Lumma Stealer. يعمل ملف التثبيت المضغوط ZIP كطعم فعال لتسليم الحمولة، واستغلال نية المستخدم في تثبيت التطبيق ومطالبته بالنقر فوق ملف التثبيت دون تردد. تهدف عناوين URL من مواقع الويب مفتوحة المصدر إلى تقليل وعي المستخدم. يقوم المهاجمون أيضًا بنشر أداة تحميل .NET خاصة مع فحوصات البيئة، والعديد من الأجهزة الافتراضية (Anti-VM)، ووظائف مكافحة التصحيح. يجب على المستخدمين توخي الحذر فيما يتعلق بمصادر التطبيقات غير الواضحة والتأكد من استخدام التطبيقات المشروعة من مصادر موثوقة وآمنة.

المصدر: FortiGuard Labs