Kuszące propozycje, niebezpieczne konsekwencje
Cyberprzestępcy rozpoczęli szeroko zakrojoną kampanię phishingową, której celem są twórcy treści na YouTube. Badacze z CloudSEK odkryli, że aż 200 000 YouTuberów otrzymało złośliwe oferty współpracy, podszywające się pod wiarygodne marki. Atakujący obiecują wynagrodzenie w zamian za umieszczenie krótkiej reklamy, jednak w rzeczywistości ofiary tracą dane logowania, a nawet swoje konta.
Scenariusz jest prosty, ale skuteczny. Fałszywe e-maile, wysyłane masowo z 340 serwerów SMTP, oferują współpracę z atrakcyjną strukturą płatności uzależnioną od liczby subskrybentów kanału. Do wiadomości dołączane są załączniki (Word, Excel lub PDF), które rzekomo zawierają umowy partnerskie. W rzeczywistości pliki ukrywają Lumma Stealer – złośliwe oprogramowanie przeznaczone do kradzieży informacji.
Zautomatyzowana sieć ataków
Cyberprzestępca odpowiedzialny za kampanię dysponuje zautomatyzowaną infrastrukturą na dużą skalę. Dzięki parserom, które masowo zbierają adresy e-mail z kanałów YouTube, hakerzy precyzyjnie targetują twórców treści oraz organizacje. Wysyłanie wiadomości phishingowych odbywa się przy użyciu narzędzi do automatyzacji przeglądarki, zintegrowanych z platformami takimi jak Murena czy Onet.eu.
Jak wyjaśnili badacze CloudSEK, atakujący korzystają z tymczasowych kont e-mail, aby podszywać się pod agencje PR i media. Cały proces został zoptymalizowany tak, by maksymalizować skuteczność i unikać wykrycia przez systemy bezpieczeństwa. Kampania wykorzystuje również 26 serwerów proxy (SOCKS5) oraz 46 protokołów pulpitu zdalnego, które skutecznie maskują działania przestępców w sieci.
Lumma Stealer: co dzieje się po infekcji?
Złośliwe oprogramowanie Lumma Stealer ukryte w załącznikach atakuje systemy ofiar po pobraniu i uruchomieniu pliku. Przykładowy plik „Digital Agreement Terms and Payments Comprehensive Evaluation.exe” został już rozpoznany jako szkodliwy przez 48 dostawców antywirusowych na platformie VirusTotal.
Po aktywacji, Lumma Stealer instaluje pliki wykonawcze, które mogą m.in.:
Wyłączać programy antywirusowe,
Kraść dane logowania do kont e-mail i portali,
Przechwytywać portfele kryptowalutowe,
Zapewniać zdalny dostęp cyberprzestępcom.
W efekcie atakujący uzyskują pełną kontrolę nad systemem, umożliwiając im dalsze infekcje oraz kradzież wrażliwych danych.
Jak uniknąć ataku?
Eksperci przestrzegają, aby dokładnie weryfikować otrzymywane oferty współpracy i nigdy nie pobierać załączników z nieznanych źródeł, zwłaszcza jeśli są chronione hasłem. Uważność jest kluczowa, ponieważ kampania jest ukierunkowana na osoby związane z marketingiem i mediami – grupy szczególnie narażone na kontakt z ofertami promocyjnymi.
Atak ten pokazuje, że hakerzy doskonale rozumieją realia rynku cyfrowego i potrafią wykorzystać naiwność oraz chęć współpracy wśród twórców internetowych. CloudSEK podkreśla, że kampania wciąż trwa, a infrastruktura cyberprzestępców jest stale rozwijana.
Fałszywe oferty współpracy mogą wydawać się korzystne, jednak warto pamiętać, że każdy link czy załącznik należy traktować z najwyższą ostrożnością.
