不干净的视频评论区，攻击者利用Youtube传播窃密软件

趋势科技的不干播窃一项调查研究发现 ，为了尽可能传播恶意软件，净的击者件攻击者正利用Youtube评论区 、视频谷歌搜索等渠道提供其恶意下载链接。评论

研究人员称 ，区攻为了增加其恶意内容的利用可信度 ，攻击者以一些热门Youtube频道为目标，密软其中一些频道拥有数十万订阅者 。不干播窃这些受感染的净的击者件频道声称提供破解版的源码库高级软件或游戏，并在视频描述或评论中提供带有安装指南的视频下载链接。

在谷歌上 ，评论攻击者正积极创建盗版和破解软件的区攻搜索结果 ，并带有指向看似合法下载器的利用链接，其中暗藏信息窃取软件。密软

经检测 ，不干播窃这些破解软件包含了以Lumma Stealer为主的信息窃取木马，一旦安装在受害者的高防服务器系统上 ，就会搜集浏览器中保存的账户密码 、密货币钱包信息 、信用卡详细信息
、受害者桌面截图等敏感数据 。

攻击者使用 Mediafire 和 Mega.nz 等合法文件托管服务来托管恶意负载，通过利用这些信誉良好的平台 ，安全软件检测和阻止这些威胁变得更加困难。此外 ，许多恶意下载都受密码保护和编码
，使得安全沙箱中的免费模板分析更加复杂  ，并允许恶意软件逃避早期检测。

除了 Lumma，研究人员观察到的其他信息窃取恶意软件包括 PrivateLoader 、MarsStealer、Amadey
、Penguish 和 Vidar。

与利用GitHub的恶意活动具有相似性

这一攻击活动手法与之前利用GitHub 的活动相似，攻击者利用开发人员对平台的信任将 Remcos RAT恶意软件隐藏在 GitHub 存储库评论中。模板下载

研究人员解释称，尽管攻击媒介不同，但评论在传播恶意软件方面发挥着重要作用。在他们观察到的一次攻击中 ，一个视频帖子声称提供破解的Adobe Lightroom ，并包含一条带有软件下载器链接的评论。访问该链接后 ，YouTube 上会打开一个单独的帖子 ，显示虚假安装程序的源码下载下载链接 ，该链接导致从 Mediafire 文件托管站点下载恶意文件 ，其中包括信息窃取恶意软件。

研究人员指出，眼下的趋势 ，攻击者会继续使用社会工程策略来瞄准受害者 ，并应用各种方法来避免安全防御 ，包括：使用大型安装程序文件 、受密码保护的 zip 文件、连接到合法网站，以及创建看起来是香港云服务器合法软件的的恶意脚本。