【安全圈】黑客利用YouTube 平台传播复杂的恶意软件

主要观点总结

卡巴斯基实验室的网络安全分析师发现，黑客利用YouTube平台传播恶意软件，伪装成原始作者发布恶意链接和用户欺诈。攻击者使用多种攻击媒介分发伪装成流行应用的恶意文件，感染链始于带有VBScript的“受密码保护的MSI文件”。恶意软件通过WMI事件过滤器、注册表修改等多种机制建立持久性，并采用复杂的防御规避技术隐藏恶意组件。最终有效载荷部署为用于挖掘注重隐私的加密货币的SilentCryptoMiner，并收集系统遥测数据通过Telegram机器人API进行传输。该恶意活动不仅针对俄罗斯用户，还针对其他国家和地区的用户，这些用户由于自愿禁用AV工具的安全措施而特别容易受到攻击。

关键观点总结

关键观点1: 黑客利用YouTube平台传播恶意软件

攻击者通过劫持热门频道在YouTube上传播恶意软件，伪装成原始作者欺骗用户。

关键观点2: 恶意软件的感染方式和持久性

恶意软件通过“受密码保护的MSI文件”中的VBScript开始感染，并通过WMI事件过滤器、注册表修改等手段建立持久性。

关键观点3: 恶意软件采用复杂的防御规避技术

攻击者使用探索者.exe进程镂空、反调试检查和使用基于特殊GUID的目录名操纵文件系统等技术来隐藏恶意组件。

关键观点4: 恶意软件的有效载荷和功能

最终有效载荷是SilentCryptoMiner，用于挖掘注重隐私的加密货币，并收集系统遥测数据通过Telegram机器人API传输。部分变体具备剪贴板劫持功能，特别针对加密货币钱包地址。

关键观点5: 恶意活动的目标用户

该恶意活动不仅针对俄罗斯用户，还包括来自其他国家如白俄罗斯、印度等的用户。这些用户由于自愿禁用AV工具的安全措施而容易受攻击。

文章预览

关键词 恶意软件 最近，卡巴斯基实验室的网络安全分析师发现，黑客一直在频繁利用 YouTube平台来传播复杂的恶意软件。通过劫持热门频道，黑客伪装成原始创作者发布恶意链接、对用户实施诈骗。 研究发现，攻击者曾在 2022 年实施了一项复杂的加密货币挖掘活动，目标主要针对俄罗斯用户。攻击者使用多种攻击媒介（包括被劫持的 YouTube 账户 ）来分发伪装成如uTorrent、Microsoft Office和Minecraft等流行应用的恶意文件。 感染链始于 "受密码保护的 MSI 文件"，其中包含触发 多阶段攻击序列的 VBScript，包括利用隐藏在合法数字签名 DLL 中的 AutoIt 脚本，将权限升级到 SYSTEM 级。这是一种在隐藏 "恶意代码 "的同时保持签名有效性的技术。 该恶意软件通过 WMI 事件过滤器、注册表修改（特别针对 图像文件执行选项、调试器和MonitorProcess 键）以及滥用开源Wazuh S ………………………………