【安全圈】黑客利用YouTube 平台传播复杂的恶意软件

主要观点总结

卡巴斯基实验室的网络安全分析师发现，黑客利用YouTube平台传播恶意软件，伪装成原始作者发布恶意链接和用户欺诈。攻击者使用多种攻击媒介分发伪装成流行应用的恶意文件，感染链始于带有VBScript的“受密码保护的MSI文件”。恶意软件通过WMI事件过滤器、注册表修改等多种机制建立持久性，并采用复杂的防御规避技术隐藏恶意组件。最终有效载荷部署为用于挖掘注重隐私的加密货币的SilentCryptoMiner，并收集系统遥测数据通过Telegram机器人API进行传输。该恶意活动不仅针对俄罗斯用户，还针对其他国家和地区的用户，这些用户由于自愿禁用AV工具的安全措施而特别容易受到攻击。

关键观点总结

关键观点1: 黑客利用YouTube平台传播恶意软件

攻击者通过劫持热门频道在YouTube上传播恶意软件，伪装成原始作者欺骗用户。

关键观点2: 恶意软件的感染方式和持久性

恶意软件通过“受密码保护的MSI文件”中的VBScript开始感染，并通过WMI事件过滤器、注册表修改等手段建立持久性。

关键观点3: 恶意软件采用复杂的防御规避技术

攻击者使用探索者.exe进程镂空、反调试检查和使用基于特殊GUID的目录名操纵文件系统等技术来隐藏恶意组件。

关键观点4: 恶意软件的有效载荷和功能

最终有效载荷是SilentCryptoMiner，用于挖掘注重隐私的加密货币，并收集系统遥测数据通过Telegram机器人API传输。部分变体具备剪贴板劫持功能，特别针对加密货币钱包地址。

关键观点5: 恶意活动的目标用户

该恶意活动不仅针对俄罗斯用户，还包括来自其他国家如白俄罗斯、印度等的用户。这些用户由于自愿禁用AV工具的安全措施而容易受攻击。

免责声明