Од почетка децембра, нападачи су користили 340 СМТП (е-маил) сервера, од којих је сваки слао око 500 до 1000 пхисхинг мејлова са једне е-маил адресе, лажно представљајући популарне брендове.

У приједлозима за сарадњу са брендовима, јутјуберима се обећава надокнада према броју претплатника за оглас у трајању од 15 секунди у предстојећем садржају на платформи. Међутим, документи, који се представљају као уговори или промотивни материјал, садрже програме за преузимање малвера.

Линкови су скривени у прилозима, као што су Ворд, ПДФ или Ексел фајлови, који изгледају као промотивни материјали, уговори или пословни приједлози.

"Пхисхинг мејлови се шаљу са лажних или компромитованих е-маил адреса, што их чини веродостојним. Примаоци су намамљени да преузму приложене фајлове, вјерујући да су то легитимне пословне понуде", наводи се у извјештају ЦлоудСЕК-а.

Да не би били откривени, нападачи хостују фајлове заштићене лозинком, као што су ЗИП или РАР архиве, на легитимним платформама, као што је ОнеДриве. Када кликне на линк, жртва се преусмјерава на легитимну платформу (ОнеДриве), на којој се налази фајл у коме је сакривен Лумма Стеалер, малвер који краде податке са зараженог уређаја. Лумма Стеалер је добро познати малвер који нападачи који плаћају претплату за његово коришћење, користе за ексфилтрирање лозинки, крипто новчаника и других података из система.

"Када се преузме, малвер може да украде осјетљиве информације, укључујући податке за пријаву и финансијске податке, истовремено омогућавајући нападачима даљински приступ системима жртве", упозорили су истраживачи.

Нападачи углавном циљају предузећа и запослене у маркетингу, продаји и оне на извршним позицијама.

Извршни фајла малвера, под називом "Digital Agreement Terms and Payments Comprehensive Evaluation.exe", 48 произвођача антивирусних програма на ВирусТоталу означава као малвер. Међутим, малвер може да провјерава и искључује антивирусе.

Пратите нас и путем Вибера