趋势科技的一项调查研究发现，为了尽可能传播恶意软件，攻击者正利用Youtube评论区、谷歌搜索等渠道提供其恶意下载链接。

研究人员称，为了增加其恶意内容的可信度，攻击者以一些热门Youtube频道为目标，其中一些频道拥有数十万订阅者。这些受感染的频道声称提供破解版的高级软件或游戏，并在视频描述或评论中提供带有安装指南的下载链接。

在谷歌上，攻击者正积极创建盗版和破解软件的搜索结果，并带有指向看似合法下载器的链接，其中暗藏信息窃取软件。

经检测，这些破解软件包含了以Lumma Stealer为主的信息窃取木马，一旦安装在受害者的系统上，就会搜集浏览器中保存的账户密码、密货币钱包信息、信用卡详细信息、受害者桌面截图等敏感数据。

攻击者使用 Mediafire 和 Mega.nz 等合法文件托管服务来托管恶意负载，通过利用这些信誉良好的平台，安全软件检测和阻止这些威胁变得更加困难。此外，许多恶意下载都受密码保护和编码，使得安全沙箱中的分析更加复杂，并允许恶意软件逃避早期检测。

除了 Lumma，研究人员观察到的其他信息窃取恶意软件包括 PrivateLoader、MarsStealer、Amadey、Penguish 和 Vidar。

与利用GitHub的恶意活动具有相似性

这一攻击活动手法与之前利用GitHub 的活动相似，攻击者利用开发人员对平台的信任将 Remcos RAT恶意软件隐藏在 GitHub 存储库评论中。

研究人员解释称，尽管攻击媒介不同，但评论在传播恶意软件方面发挥着重要作用。在他们观察到的一次攻击中，一个视频帖子声称提供破解的Adobe Lightroom ，并包含一条带有软件下载器链接的评论。访问该链接后，YouTube 上会打开一个单独的帖子，显示虚假安装程序的下载链接，该链接导致从 Mediafire 文件托管站点下载恶意文件，其中包括信息窃取恶意软件。

研究人员指出，眼下的趋势，攻击者会继续使用社会工程策略来瞄准受害者，并应用各种方法来避免安全防御，包括：使用大型安装程序文件、受密码保护的 zip 文件、连接到合法网站，以及创建看起来是合法软件的的恶意脚本。

参考来源：

Cyberattackers Hide Infostealers in YouTube Comments, Google Search Results