卡巴斯基：恶意软件通过YouTube传播

卡巴斯基实验室近日揭露了一种新型恶意软件的传播方式，该软件通过YouTube平台进行传播，对用户构成严重威胁。黑客通过控制YouTube上的热门频道，冒充频道所有者发布带有恶意链接的视频，诱使观众点击，从而实施诈骗。

2022年，卡巴斯基实验室的研究人员发现了一系列针对俄罗斯用户的复杂加密货币挖掘活动。攻击者利用包括YouTube在内的多种渠道，分发伪装成流行软件如uTorrent、Microsoft Office和Minecraft的恶意文件。

这些恶意文件的传播始于一个受密码保护的MSI文件，该文件内嵌有VBScript，能够触发一系列多阶段的攻击。攻击者利用了一种技术，将恶意代码隐藏在合法的数字签名DLL中，以此来保持签名的有效性。

为了在受害者的计算机上建立持久性，恶意软件采用了多种机制，包括WMI事件过滤器、注册表修改，以及滥用开源Wazuh SIEM代理进行远程访问。

攻击者还使用了复杂的防御规避技术，例如通过explorer.exe进程镂空、反调试检查和基于特殊GUID的目录名来操纵文件系统，以隐藏恶意组件。

最终，恶意软件部署了SilentCryptoMiner，这是一种用于挖掘Monero和Zephyr等隐私保护型加密货币的软件。它还采用了基于进程的隐身机制来逃避安全检测。

此外，该恶意软件能够收集系统的遥测数据，如CPU规格、GPU详细信息、操作系统版本和防病毒信息，并通过Telegram机器人API传输这些数据。某些变种甚至包括剪贴板劫持功能，专门针对加密货币钱包地址。

此次恶意活动的受害者不仅限于俄罗斯，还扩展到了白俄罗斯、印度、乌兹别克斯坦、哈萨克斯坦、德国、阿尔及利亚、捷克、莫桑比克和土耳其的用户。这些用户由于经常禁用防病毒工具的保护和安全措施来安装非官方软件，因此更容易受到攻击。

这种攻击的复杂性体现在其模块化结构上，允许攻击者根据目标动态加载不同的有效载荷组件。这表明，大规模的网络攻击可以通过先进的混淆方法和反分析功能，在保持隐蔽性的同时，融入复杂的企业级攻击技术。卡巴斯基实验室提醒用户提高警惕，避免点击不明链接，确保防病毒软件的实时更新和保护。

为了防止恶意软件的攻击，用户应保持AV工具的保护和安全措施，并避免下载非官方软件。同时，用户应保持系统和应用程序的更新，并定期备份重要数据。