趨勢科技的一項調查研究發現，為了盡可能傳播惡意軟件，攻擊者正利用Youtube評論區、谷歌搜索等渠道提供其惡意下載鏈接。

研究人員稱，為了增加其惡意內容的可信度，攻擊者以一些熱門Youtube頻道為目標，其中一些頻道擁有數十萬訂閱者。這些受感染的頻道聲稱提供破解版的高級軟件或游戲，并在視頻描述或評論中提供帶有安裝指南的下載鏈接。

在谷歌上，攻擊者正積極創建盜版和破解軟件的搜索結果，并帶有指向看似合法下載器的鏈接，其中暗藏信息竊取軟件。

經檢測，這些破解軟件包含了以Lumma Stealer為主的信息竊取木馬，一旦安裝在受害者的系統上，就會搜集瀏覽器中保存的賬戶密碼、密貨幣錢包信息、信用卡詳細信息、受害者桌面截圖等敏感數據。

攻擊者使用 Mediafire 和 Mega.nz 等合法文件托管服務來托管惡意負載，通過利用這些信譽良好的平臺，安全軟件檢測和阻止這些威脅變得更加困難。此外，許多惡意下載都受密碼保護和編碼，使得安全沙箱中的分析更加復雜，并允許惡意軟件逃避早期檢測。

除了 Lumma，研究人員觀察到的其他信息竊取惡意軟件包括 PrivateLoader、MarsStealer、Amadey、Penguish 和 Vidar。

與利用GitHub的惡意活動具有相似性

這一攻擊活動手法與之前利用GitHub 的活動相似，攻擊者利用開發人員對平臺的信任將 Remcos RAT惡意軟件隱藏在 GitHub 存儲庫評論中。

研究人員解釋稱，盡管攻擊媒介不同，但評論在傳播惡意軟件方面發揮著重要作用。在他們觀察到的一次攻擊中，一個視頻帖子聲稱提供破解的Adobe Lightroom ，并包含一條帶有軟件下載器鏈接的評論。訪問該鏈接后，YouTube 上會打開一個單獨的帖子，顯示虛假安裝程序的下載鏈接，該鏈接導致從 Mediafire 文件托管站點下載惡意文件，其中包括信息竊取惡意軟件。

研究人員指出，眼下的趨勢，攻擊者會繼續使用社會工程策略來瞄準受害者，并應用各種方法來避免安全防御，包括：使用大型安裝程序文件、受密碼保護的 zip 文件、連接到合法網站，以及創建看起來是合法軟件的的惡意腳本。