最近，卡巴斯基實驗室的網(wǎng)絡(luò)安全分析師發(fā)現(xiàn)，黑客一直在頻繁利用 YouTube平臺來傳播復(fù)雜的惡意軟件。通過劫持熱門頻道，黑客偽裝成原始創(chuàng)作者發(fā)布惡意鏈接、對用戶實施詐騙。

研究發(fā)現(xiàn)，攻擊者曾在 2022 年實施了一項復(fù)雜的加密貨幣挖掘活動，目標(biāo)主要針對俄羅斯用戶。攻擊者使用多種攻擊媒介（包括被劫持的 YouTube 賬戶 ）來分發(fā)偽裝成如uTorrent、Microsoft Office和Minecraft等流行應(yīng)用的惡意文件。

感染鏈?zhǔn)加?"受密碼保護的 MSI 文件"，其中包含觸發(fā) 多階段攻擊序列的 VBScript，包括利用隱藏在合法數(shù)字簽名 DLL 中的 AutoIt 腳本，將權(quán)限升級到 SYSTEM 級。 這是一種在隱藏 "惡意代碼 "的同時保持簽名有效性的技術(shù)。

該惡意軟件通過 WMI 事件過濾器、注冊表修改（特別針對 圖像文件執(zhí)行選項、調(diào)試器和MonitorProcess 鍵）以及濫用開源Wazuh SIEM 代理進行遠程訪問等多種機制建立了持久性。

此外，攻擊者采用了復(fù)雜的防御規(guī)避技術(shù)（通 explorer.exe進程鏤空、反調(diào)試檢查和使用基于特殊 GUID 的目錄名操縱文件系統(tǒng)）來隱藏惡意組件。

卡巴斯基表示，最終有效載荷部署為SilentCryptoMiner，用于挖掘Monero和Zephyr等注重隱私的加密貨幣，同時實施基于進程的隱身機制以逃避檢測。

該惡意軟件還收集系統(tǒng)遙測數(shù)據(jù)（包括CPU 規(guī)格、GPU 詳細信息、操作系統(tǒng)版本和防病毒信息）并通過 Telegram 機器人 API 進行傳輸，其中一些變體包括剪貼板劫持功能，特別針對加密貨幣錢包地址。

除了針對俄羅斯用戶，這一惡意活動還針對來自白俄羅斯、印度、烏茲別克斯坦、哈薩克斯坦、德國、阿爾及利亞、捷克、莫桑比克和土耳其的用戶。由于這些用戶經(jīng)常自愿禁用 AV 工具的保護和安全措施來安裝非官方軟件，因此特別容易受到攻擊。

這種攻擊的復(fù)雜性體現(xiàn)在其模塊化結(jié)構(gòu)上，即可以根攻擊者的目標(biāo)動態(tài)加載不同的有效載荷組件，表明大規(guī)模活動可通過先進的混淆方法和反分析功能，在保持隱蔽性的同時融入復(fù)雜的企業(yè)級攻擊技術(shù)。