🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Inteligência do adversário

Como os agentes de ameaças exploram as colaborações de marcas para atingir canais populares do YouTube

Os cibercriminosos estão cada vez mais atacando os criadores do YouTube, explorando ofertas falsas de colaboração de marcas para distribuir malware. Essas sofisticadas campanhas de phishing envolvem e-mails cuidadosamente elaborados que se fazem passar por marcas confiáveis, apresentando acordos de parceria atraentes. O malware, disfarçado de documentos legítimos, como contratos ou materiais promocionais, geralmente é entregue por meio de arquivos protegidos por senha hospedados em plataformas como o OneDrive para evitar a detecção. Depois de baixado, o malware pode roubar informações confidenciais, incluindo credenciais de login e dados financeiros, além de conceder aos atacantes acesso remoto aos sistemas da vítima. Com criadores de conteúdo e profissionais de marketing como alvos principais, essa campanha global ressalta a importância de verificar as solicitações de colaboração e adotar medidas robustas de segurança cibernética para se proteger contra essas ameaças.
December 16, 2024
11
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

Sumário executivo

Este relatório destaca uma campanha sofisticada de malware direcionada a empresas por meio de phishing por e-mail. Os atacantes estão aproveitando marcas confiáveis e ofertas de colaboração profissional como cobertura para distribuir anexos maliciosos. As linhas de assunto e o conteúdo do e-mail são cuidadosamente elaborados para aparecerem como oportunidades de negócios legítimas, incluindo promoções, propostas de parceria e colaborações de marketing.

As principais características da campanha incluem:

  • Carga útil de e-mail: O malware está oculto em anexos, como documentos do Word, PDFs ou arquivos do Excel, geralmente mascarado como materiais promocionais, contratos ou propostas comerciais.
  • Método de entrega: Os e-mails de phishing são enviados de endereços de e-mail falsificados ou comprometidos, fazendo com que pareçam confiáveis. Os destinatários são induzidos a baixar os arquivos anexados, acreditando que são ofertas comerciais legítimas.
  • Comportamento de malware: Depois que o anexo é aberto, o malware se instala no sistema da vítima. Esse malware geralmente é projetado para roubar dados confidenciais, incluindo credenciais de login, informações financeiras e propriedade intelectual, ou para fornecer acesso remoto ao atacante.
  • Público-alvo: Empresas e indivíduos em cargos de marketing, vendas e executivos são os principais alvos, dada sua propensão a se engajar em promoções e parcerias de marca.

Mapa mental da campanha de malware

Visão geral:

A equipe de pesquisadores de ameaças da Cloudsek descobriu uma campanha de malware na qual os agentes de ameaças se fazem passar por marcas populares e sua colaboração profissional oferece um disfarce para distribuir anexos maliciosos. No e-mail abaixo, o agente da ameaça apresenta uma proposta de colaboração de marca da, incluindo uma estrutura de remuneração com base na contagem de assinantes.

E-mail de colaboração com a marca

No final do e-mail, o agente da ameaça inclui instruções e um link do OneDrive para acessar um arquivo zip contendo o contrato e os materiais promocionais, protegidos com a senha.

E-mail de colaboração com a marca

Quando a vítima do YouTube clicou no URL do e-mail, ela foi direcionada para uma página do Drive. Uma inspeção mais aprofundada revelou o e-mail do proprietário do Drive, “[email protected]”, e uma data de criação de 15/08/2024 para a conta do OneDrive.

Instantâneo do Onedrive contendo arquivo rar

A carga maliciosa está incorporada em dois arquivos compactados. Essa tática é usada para evitar a detecção por filtros de segurança e soluções antivírus comuns. Depois que o arquivo é extraído, o malware é implantado, potencialmente comprometendo o sistema do destinatário. ou seja, Media Assets Complete Collection.rar > Arquivo de contratos e contratos Collection.rar (protegido por senha”). Na extração, pudemos ver quatro arquivos, em que o Digital Agreement Terms and Payments Comprehensive Evaluation.exe é uma carga maliciosa.

Instantâneo do elemento extraído de Arquivo de contratos e acordos Collection.rar

Modo de operação:

Inicialização do ataque:

  • Analisador do YouTube: os invasores usam um analisador para coletar endereços de e-mail em massa dos canais do YouTube, visando criadores e organizações.
  • Automação: Ferramentas como a automação do navegador são empregadas para enviar e-mails de phishing em massa usando servidores SMTP (por exemplo, Murena/Onet.eu).

Estágio de phishing:

  • E-mails falsificados: os e-mails são criados para aparecerem como solicitações de colaboração de marca.
  • Anexo malicioso: as vítimas recebem um arquivo zip protegido por senha, hospedado em serviços em nuvem como o OneDrive.

Entrega de malware:

  • Download: As vítimas baixam o arquivo zip, acreditando que ele é legítimo.
  • Execução: Depois de extraído, o arquivo implanta um script malicioso (webcams.pif) usando a automação AutoIt3 para executar malware.

Infecção do sistema:

  • Execução de malware: a carga (por exemplo, um arquivo EXE) infecta a máquina da vítima.
  • Exfiltração de dados: dados roubados, como credenciais do navegador, cookies e dados da prancheta, são transmitidos para um servidor de Comando e Controle (C2).

Análise e atribuição:

Nossa investigação começou analisando uma amostra, na qual ela foi sinalizada como maliciosa por 15 fornecedores de antivírus em Total de vírus. Uma análise mais aprofundada revelou que a amostra descarta um arquivo chamado webcam.pif (AutoIt3.exe). O hash desse arquivo, d8b7c7178fbadbf169294e4f29dce582f89a5cf372e9da9215aa082330dc12fd, correspondido anteriormente pesquisa conduzido pela equipe da Qualys, vinculando-o a uma campanha associada ao Lumma Stealer.

Resultado do Virustotal da Abrangência de Termos e Pagamentos do Contrato Digital Evaluation.exe

Principais importações e seu potencial uso malicioso

  1. Funções relacionadas à prancheta (Suspeito - T1115 | Dados da prancheta)algum texto
    • Fechar prancheta / Prancheta aberta / Prancheta vazia / Definir dados da pranchetaalgum texto
      • Essas funções são usadas para manipular a prancheta.
      • Uso malicioso: O malware geralmente usa funções de área de transferência para roubar ou substituir dados que os usuários copiam/colam (por exemplo, senhas, endereços de carteiras de criptomoedas).
      • MITRA ATT&CK T1115: Os dados da área de transferência geralmente são alvo de malwares que roubam informações e podem acessar e alterar o conteúdo da área de transferência.
  2. Funções de arquivo e processo (potencialmente maliciosas)algum texto
    • Gravar arquivoalgum texto
      • Usado para gravar dados em um arquivo.
      • Uso malicioso: Pode ser usado por malware para gravar cargas maliciosas, colocar arquivos no sistema ou registrar dados roubados.
    • Obtenha o processo atual / Processo abertoalgum texto
      • Essas funções estão relacionadas à recuperação e interação com os processos.
      • Uso malicioso: Comum em malwares para injeção de processos, em que o código malicioso é injetado em um processo legítimo para evitar a detecção.
      • MITRA ATT&CK T1055: A injeção de processo é uma técnica usada pelo malware para executar seu código no espaço de endereço de outro processo, permitindo que ele oculte e evite mecanismos de segurança.
  3. Função do sistema de arquivosalgum texto
    • SHGet Special Folder Locationalgum texto
      • Essa função é usada para recuperar o caminho de pastas especiais, como Desktop ou Documentos.
      • Uso malicioso: O malware pode usar isso para localizar diretórios específicos do usuário para eliminar arquivos maliciosos ou roubar dados do usuário.

Comando e controle:

O malware se comunica com os servidores de Comando e Controle (C2) para exfiltrar dados roubados. Inicialmente, ele tenta fazer uma solicitação de DNS para “UKCMCSVDAZGZAOH.UKCMCSVDAZGZAOH”, embora esses servidores estejam atualmente inacessíveis. Posteriormente, o malware se conecta ao endereço IP 89.105.223.80 na porta 27105 e resolve o URL http://vm95039.vps.client-server.site:27105/.

DNS: UKCMCSVDAZGZAOH.UKCMCSVDAZGZAOH

Instantâneo de malware se conectando com UKCMCSVDAZGZAOH.UKCMCSVDAZGZAOH

TCP: 89,105,223. 80:27105

Instantâneo do malware se conectando com 89.105.223.80 na porta 27105

Resolva: http://vm95039.vps.client-server.site:27105/

o malware conectado com 89.105.223.80 na porta 27105 resolve http://vm95039.vps.client-server.site:27105/

Árvore de processos:

O Evaluation.exe abrangente de Termos e Pagamentos do Contrato Digital inicia a execução diretamente no diretório temporário e copia “Larger.bat” e “WebCamps.pif” para o diretório. Isso pode ser uma tentativa de criar um script em lote para execução automatizada de comandos adicionais, geralmente usado por malware para persistência ou para acionar outras atividades maliciosas.

O arquivo Larger.bat ofuscado verifica processos antivírus, incluindo wrsa.exe (Webroot), opssvc.exe (Quick Heal) e bdservicehost.exe (Bitdefender), entre outros, usando os comandos tasklist e findstr. O malware geralmente realiza essas verificações para identificar e potencialmente desativar programas antivírus.

Código ofuscado de Larger.bat

Código desofuscado do Larger.bat

Após a execução, um interpretador de scripts AutoIt legítimo (disfarçado como “webcams.pif”) é baixado para executar um script altamente ofuscado (chamado de “V” na amostra analisada). Esse script é montado pela concatenação de vários “blocos” de dados de vários outros arquivos, que são criados por meio de uma série de operações de cópia e mesclagem executadas no prompt de comando.

série de operações de cópia e mesclagem executadas a partir do script do prompt de comando

O objetivo do script AutoIt é implantar o binário RegAsm.exe legítimo, que serve como um contêiner para injetar código.NET malicioso. O AutoIt é uma linguagem de desenvolvimento frequentemente utilizada por autores de malware para criar e ofuscar software malicioso.

Árvore de processos

O malware coloca dois arquivos webcams.pif e RegAsm.exe na pasta chamada “10183” do diretório temporário.

O malware criou uma pasta “10183” e eliminou o RegAsm.exe e o WabCams.pif

https://www.virustotal.com/gui/file/d8b7c7178fbadbf169294e4f29dce582f89a5cf372e9da9215aa082330dc12fd/relations

Resultado total do vírus webcams.pif (Autoit3.exe)

O malware colocou o larger.bat e outros pedaços de arquivo no diretório temporário.

Infraestrutura de caçadores de ameaças:

Conduzimos uma investigação mais profunda sobre a infraestrutura do agente de ameaças e descobrimos um arquivo RAR compactado e malicioso enviado para o OneDrive. Uma análise posterior revelou o e-mail do proprietário, “[email protected]”, e observou que o arquivo RAR foi atualizado pela última vez em 15/08/2024.

Instantâneo contendo detalhes do criador do One Drive

Análise do registro do Stealer:

Curiosamente, também descobrimos um registro de roubo na conta de e-mail do agente da ameaça, expondo detalhes de toda a campanha. Isso incluiu contas de e-mail SMTP (como onet.eu e Murena.io), proxies SOCKS5, APIs do Google Cloud, e-mails e cookies das vítimas, além de modelos de phishing.

Parece que uma ferramenta com vários analisadores foi usada para coletar dados do YouTube, permitindo que o agente da ameaça obtivesse um grande número de endereços de e-mail associados aos canais do YouTube como parte de seus esforços iniciais de reconhecimento.

O Snapshot mostra registros roubadores de agentes de ameaças contendo ferramentas de automação, scripts e modelos.

Aqui está um modelo do registro do ladrão usado para se passar por marcas e enviar e-mails de spam maliciosos aos usuários.

Modelos usados pelo agente de ameaças para atingir a marca

Modelos usados pelo agente de ameaças para atingir a marca

Os agentes de ameaças criam modelos para contas falsas de SMTP ou de e-mail temporárias para enviar e-mails com anexos maliciosos. Esses modelos foram criados para se passar por marcas legítimas, usando logotipos, formatação e linguagem familiares para enganar os destinatários e aumentar a probabilidade de eles abrirem o anexo prejudicial.

Modelos usados pelo agente de ameaças para criar e-mails de SMTP/spear phishing

Várias contas SMTP que se fazem passar por entidades de relações públicas e mídia foram criadas para atingir o público do YouTube.

O instantâneo mostra várias contas SMTP se passando por entidades de relações públicas e mídia

No information.txt, descobrimos que o agente da ameaça está usando ferramentas de automação para enviar e-mails de spear phishing e outras tarefas de automação.

Ferramentas de automação para enviar e-mails de spear phishing e outras tarefas de automação.

Conseguimos fazer login na conta SMTP do Murena.io e encontramos evidências de uma campanha em grande escala, com o agente da ameaça enviando cerca de 500-1.000 e-mails de spam de um único endereço de e-mail, fingindo ser a marca popular. Abaixo está uma captura de tela de um dos e-mails de phishing enviados às vítimas.

O acesso a uma das contas SMTP revelou uma campanha de spear-phishing em grande escala direcionada a marcas populares

Snapshot mostra campanha de spear-phishing em grande escala direcionada a marcas populares

Também descobrimos um histórico de sessões de login anteriores, que incluía detalhes como IP da sessão, região, horário de login e tipo de dispositivo.

As sessões de login anteriores revelaram o IP da sessão, a região, o horário de login e o tipo de dispositivo.

Informações detalhadas de um dos endereços IP indicam que ele pertence a um ISP e pode ser uma máquina de usuário comprometida frequentemente explorada por agentes de ameaças. 91.94.88.209

O instantâneo mostra detalhes do endereço IP

O número de telefone registrado na conta de e-mail SMTP é +48537977468, que tem um código de país da Polônia. No entanto, pode ser um número de celular temporário.

O instantâneo mostra e-mails SMTP registrados com o número de telefone +48537977468

Nossos pesquisadores notaram o nome de usuário “raez228” no registro do ladrão do Threat Actor.

Nome de usuário “raez228” no registro do ladrão do Threat Actor

Encontramos uma correspondência para o nome de usuário “raez228" em uma plataforma de jogos chamada Twitch.tv, que é usada para transmitir sessões de jogos ao vivo.

Perfil do Twitch: https://www.twitch.tv/raez228/about 

Perfil do Twitch encontrado com o nome de usuário “raez228”

Modelo de diamante de análise de intrusão:

Esse modelo de diamante destaca um agente de ameaças bem coordenado e engenhoso que utiliza ferramentas e técnicas avançadas para comprometer contas e organizações de mídia social em todo o mundo.

Modelo diamante da infraestrutura do adversário

Adversário

O adversário utiliza malware e técnicas sofisticadas para ataques direcionados. Suas ações sugerem um grupo bem organizado com acesso a diversas ferramentas e recursos.

Infraestrutura

O adversário usa uma infraestrutura robusta para apoiar suas campanhas, incluindo:

  • Mais de 340 servidores SMTP (por exemplo, Murena/Onet.eu) para campanhas de phishing ou spam baseadas em e-mail.
  • Mais de 46 protocolos de desktop remoto (RDPs), provavelmente usado para acessar sistemas comprometidos ou implantar malware.
  • Mais de 26 proxies SOCKS5, que ajudam a anonimizar o tráfego e facilitar a comunicação furtiva com servidores de Comando e Controle (C2).
  • Ferramentas de automação como Youparser, estúdio de automação de navegadores, e Zennobox para agilizar operações como spear phishing, coleta de credenciais e ataques de escalabilidade.

Capacidade

O adversário apresenta as seguintes capacidades principais:

  • Implantação de malware: Aproveitando software malicioso para se infiltrar e controlar os sistemas de destino.
  • Engenharia social: Manipular indivíduos para obter acesso não autorizado a contas ou sistemas.
  • Aquisições de contas: Obter acesso não autorizado às contas das vítimas para exploração.
  • Colheita de credenciais e biscoitos: Roubar informações de login e cookies de sessão para acesso não autorizado à conta ou movimentação lateral.

Vítimas

  • Indústria: Concentre-se em plataformas de mídia social e organizações associadas.
  • Plataformas: o YouTube é o alvo principal, indicando a intenção de explorar sua base de usuários ou os recursos da plataforma.
  • Organizações: As entidades foram alvo, provavelmente para fins de phishing, fraude ou falsificação de identidade.

Geografia: A campanha tem um global impacto, sem foco regional específico.

Táticas e técnicas do MITRE ATT&CK:

MITRE ATT&CK Framework: Tactics and Techniques

Tactic Techniques
Reconnaissance Gather Victim Identity Information (T1589.002), Gather Victim Network Information (T1590)
Resource Development Valid Accounts (T1078), Default Accounts (T1078.001), Email Addresses (T1589.001), Employee Names (T1589.003), DNS Server (T1589.004)
Initial Access Drive-by Compromise (T1189), Spearphishing Link (T1566.002)
Execution Windows Management Instrumentation (T1047), Scripting (T1059), Process Injection (T1055)
Persistence Scheduled Task/Job (T1053), DLL Side-Loading (T1574.002)
Privilege Escalation DLL Side-Loading (T1574.002), Process Injection (T1055), Logon Script (Windows) (T1037.001), Security Account Manager (T1003.003), NTDS (T1003.006)
Defense Evasion Process Injection (T1055), Masquerading (T1036), Virtualization/Sandbox Evasion (T1497), Disable or Modify Tools (T1562), Deobfuscate/Decode Files or Information (T1140)
Credential Access OS Credential Dumping (T1003), Security Account Manager (T1003.003)
Discovery Process Discovery (T1057), System Information Discovery (T1082), Internet Connection Discovery (T1016), File and Directory Discovery (T1083), Browser Information Discovery (T1217)
Lateral Movement Remote Services (T1021), SMB/Windows Admin Shares (T1021.002), Distributed Component Object Model (T1021.003)
Collection Data from Local System (T1005), Data from Removable Media (T1025), Input Capture (T1056), Keylogging (T1056.001), Data from Network Shared Drive (T1039)
Command and Control Application Layer Protocol (T1071)
Exfiltration Exfiltration Over C2 Channel (T1041)

Indicadores de compromisso (IOCs):

Hashes, URLs, and IPv4 Data

Hash's
564de0f055afa822add5e46761cba0c422f6a5e060ab7d2133599d8759598d50 Sha256
C49ef71c9ac46cbb859d171985a5bf69565517b6 Sha1
1cdd0761807ae68a8090e67a63529e07 MD5
d8b7c7178fbadbf169294e4f29dce582f89a5cf372e9da9215aa082330dc12fd Sha256
URL
ukCmCsVdaZGZaOh.ukCmCsVdaZGZaOh http://vm95039.vps.client-server.site:27105/
IPv4
89.105.223.80:27105 34.149.100.209:443
142.251.184.94:443 218.85.157.99:53
20.99.186.246:443 152.195.19.97:443

Referências

Mayank Sahariya
Passionate about national security, the author investigates organized cybercrime, analyzes malware, and explores dark web ecosystems. With a focus on cybersecurity and fintech, his work supports law enforcement, intelligence agencies, and organizations in mitigating emerging threats.
Nenhum item encontrado.

Blogs relacionados

Este é um texto dentro de um bloco div.
Inteligência do adversário
March 6, 2026
7
min
AI, the Iran-US Conflict, and the Threat to US Critical Infrastructure
Leia mais
Este é um texto dentro de um bloco div.
Inteligência do adversário
March 5, 2026
5
min
A Threat Actor Landscape Assessment of ICS/OT Targeting in the 2026 Iran-US Conflict AND THE SCALE OF THE RISK
Leia mais
Este é um texto dentro de um bloco div.
Inteligência do adversário
March 3, 2026
7
min
Campanha do Trojan RedAlert: falso aplicativo de alerta de emergência espalhado por SMS falsificando o Comando da Frente Interna de Israel
Leia mais