Od početka decembra, napadači su koristili 340 SMTP (e-mail) servera, od kojih je svaki slao oko 500 do 1000 phishing mejlova sa jedne e-mail adrese, lažno predstavljajući popularne brendove.

U prijedlozima za saradnju sa brendovima, jutjuberima se obećava nadoknada prema broju pretplatnika za oglas u trajanju od 15 sekundi u predstojećem sadržaju na platformi. Međutim, dokumenti, koji se predstavljaju kao ugovori ili promotivni materijal, sadrže programe za preuzimanje malvera.

Linkovi su skriveni u prilozima, kao što su Vord, PDF ili Еksel fajlovi, koji izgledaju kao promotivni materijali, ugovori ili poslovni prijedlozi.

"Phishing mejlovi se šalju sa lažnih ili kompromitovanih e-mail adresa, što ih čini verodostojnim. Primaoci su namamljeni da preuzmu priložene fajlove, vjerujući da su to legitimne poslovne ponude", navodi se u izvještaju CloudSЕK-a.

Da ne bi bili otkriveni, napadači hostuju fajlove zaštićene lozinkom, kao što su ZIP ili RAR arhive, na legitimnim platformama, kao što je OneDrive. Kada klikne na link, žrtva se preusmjerava na legitimnu platformu (OneDrive), na kojoj se nalazi fajl u kome je sakriven Lumma Stealer, malver koji krade podatke sa zaraženog uređaja. Lumma Stealer je dobro poznati malver koji napadači koji plaćaju pretplatu za njegovo korišćenje, koriste za eksfiltriranje lozinki, kripto novčanika i drugih podataka iz sistema.

"Kada se preuzme, malver može da ukrade osjetljive informacije, uključujući podatke za prijavu i finansijske podatke, istovremeno omogućavajući napadačima daljinski pristup sistemima žrtve", upozorili su istraživači.

Napadači uglavnom ciljaju preduzeća i zaposlene u marketingu, prodaji i one na izvršnim pozicijama.

Izvršni fajla malvera, pod nazivom "Digital Agreement Terms and Payments Comprehensive Evaluation.exe", 48 proizvođača antivirusnih programa na VirusTotalu označava kao malver. Međutim, malver može da provjerava i isključuje antiviruse.

Pratite nas i putem Vibera