黑客利用YouTube 平台传播复杂的恶意软件

最近 ，黑客卡巴斯基实验室的利用网络安全分析师发现 ，黑客一直在频繁利用 YouTube平台来传播复杂的台传恶意软件。通过劫持热门频道，播复黑客伪装成原始创作者发布恶意链接、恶意对用户实施诈骗 。软件

研究发现 ，黑客攻击者曾在 2022 年实施了一项复杂的利用加密货币挖掘活动
，目标主要针对俄罗斯用户。香港云服务器台传攻击者使用多种攻击媒介（包括被劫持的播复 YouTube 账户 ）来分发伪装成如uTorrent、Microsoft Office和Minecraft等流行应用的恶意恶意文件 。

感染链始于 "受密码保护的软件 MSI 文件" ，其中包含触发 多阶段攻击序列的黑客 VBScript，包括利用隐藏在合法数字签名 DLL 中的利用 AutoIt 脚本 ，将权限升级到 SYSTEM 级 。免费模板台传 这是一种在隐藏 "恶意代码 "的同时保持签名有效性的技术
。

该恶意软件通过 WMI 事件过滤器、注册表修改（特别针对 图像文件执行选项、调试器和MonitorProcess 键）以及滥用开源Wazuh SIEM 代理进行远程访问等多种机制建立了持久性。

此外 ，攻击者采用了复杂的防御规避技术（通 explorer.exe进程镂空
、反调试检查和使用基于特殊 GUID 的高防服务器目录名操纵文件系统）来隐藏恶意组件 。

卡巴斯基表示 ，最终有效载荷部署为SilentCryptoMiner
，用于挖掘Monero和Zephyr等注重隐私的加密货币，同时实施基于进程的隐身机制以逃避检测  。

该恶意软件还收集系统遥测数据（包括CPU 规格 、GPU 详细信息、操作系统版本和防病毒信息）并通过 Telegram 机器人 API 进行传输，其中一些变体包括剪贴板劫持功能 ，云计算特别针对加密货币钱包地址。

除了针对俄罗斯用户，这一恶意活动还针对来自白俄罗斯、印度、乌兹别克斯坦 、哈萨克斯坦、德国 、阿尔及利亚 、捷克、莫桑比克和土耳其的用户。建站模板由于这些用户经常自愿禁用 AV 工具的保护和安全措施来安装非官方软件 ，因此特别容易受到攻击 。

这种攻击的复杂性体现在其模块化结构上，即可以根攻击者的目标动态加载不同的有效载荷组件，表明大规模活动可通过先进的混淆方法和反分析功能，在保持隐蔽性的源码下载同时融入复杂的企业级攻击技术
。

很赞哦!（817）