據(jù)Cyber Security News消息，網(wǎng)絡(luò)安全專(zhuān)家發(fā)現(xiàn)了一波針對(duì)Youtube創(chuàng)作者的攻擊，攻擊者利用釣魚(yú)郵件，冒充品牌方與這些創(chuàng)作者進(jìn)行合作溝通，以此來(lái)傳播惡意軟件。

攻擊者使用定制的電子郵件、專(zhuān)業(yè)的品牌和語(yǔ)言以及誘人的品牌贊助或促銷(xiāo)交易報(bào)價(jià)來(lái)迷惑創(chuàng)作者。郵件中包含合同和材料文件，但這些文件已被武器化，就會(huì)竊取敏感數(shù)據(jù)，包括登錄憑證、財(cái)務(wù)信息甚至知識(shí)產(chǎn)權(quán)。

攻擊鏈

這些釣魚(yú)郵件通過(guò)看似合法但卻是假冒的賬戶(hù)發(fā)送，包括通過(guò) OneDrive 等云服務(wù)托管的受密碼保護(hù)的附件，并附有旨在證明其安全性的說(shuō)明。 受害者下載并解壓文件后，會(huì)在不知情的情況下執(zhí)行惡意軟件，從而入侵系統(tǒng)。這種惡意軟件不僅可以提取敏感信息，還可以為攻擊者提供對(duì)設(shè)備的完全遠(yuǎn)程訪問(wèn)。

虛假的品牌合作郵件

根據(jù) Cloudsek 的報(bào)告，在這些活動(dòng)中傳播的惡意軟件非常復(fù)雜，利用多層壓縮和混淆來(lái)逃避反病毒工具的檢測(cè)，并將其與“Lumma Stealer”聯(lián)系起來(lái)，這是一種臭名昭著的惡意軟件，以針對(duì)敏感的用戶(hù)數(shù)據(jù)而聞名。

在此活動(dòng)中，惡意有效載荷通常被嵌入名為 "合同和協(xié)議存檔 "等看似合法的壓縮文件中。 對(duì)惡意軟件的技術(shù)分析揭示了它的高級(jí)功能，能使用篡改剪貼板數(shù)據(jù)的功能，這是一種經(jīng)常用于竊取加密貨幣錢(qián)包地址的技術(shù)。

此外，該惡意軟件還通過(guò) AutoIt 使用自動(dòng)腳本，AutoIt 是攻擊者共同使用的合法腳本環(huán)境。 這些腳本有助于惡意軟件在受害者設(shè)備上靜默執(zhí)行、更改關(guān)鍵系統(tǒng)文件并建立持久性。而與命令控制服務(wù)器的通信可確保被盜數(shù)據(jù)（包括瀏覽器憑據(jù)、cookie 和機(jī)密用戶(hù)信息）持續(xù)外流。

這次活動(dòng)為 YouTube 創(chuàng)作者以品牌營(yíng)銷(xiāo)方敲響了安全警鐘，建議創(chuàng)作者應(yīng)通過(guò)官方渠道直接聯(lián)系品牌，核實(shí)任何主動(dòng)提出的合作請(qǐng)求。 應(yīng)避免可疑的 URL 或密碼保護(hù)的存檔，用戶(hù)應(yīng)保持強(qiáng)大的防病毒保護(hù)，并在所有關(guān)鍵賬戶(hù)上啟用多因素身份驗(yàn)證 (MFA)。