Según Google, los usuarios de YouTube han sido blanco de ataques de phishing coordinados por actores de amenazas con motivación financiera con malware que roba contraseñas.
Los investigadores del Threat Analysis Group (TAG) de Google, que vieron la campaña por primera vez a fines de 2019, descubrieron que varios actores de piratería para contratar, reclutados a través de anuncios de trabajo en foros en ruso, estaban detrás de estos ataques.
Los actores de amenazas utilizaron ingeniería social (a través de páginas de destino de software falsas y cuentas de redes sociales) y correos electrónicos de phishing para infectar a los creadores de YouTube con malware de robo de inteligencia seleccionado según las preferencias del atacante.
Canales secuestrados en ataques de paso de cookies
El malware observado en los ataques incluye cepas estándar como RedLine, Vidar, Predator The Thief, Nexus Stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad y Kantal, así como cepas de código abierto como Sorano y AdamantiumThief.
Una vez implementado en los sistemas del objetivo, el malware se utilizó para robar sus credenciales y cookies del navegador, lo que permitió a los atacantes secuestrar las cuentas de las víctimas en ataques de paso de cookies.
«Aunque la tecnología ha existido durante décadas, su resurgimiento como el mayor riesgo de seguridad podría deberse a la adopción más amplia de la autenticación multifactor (MFA), que dificulta el abuso y hace que los atacantes se centren en tácticas de ingeniería social», dijo Ashley Shen. , un ingeniero de seguridad de TAG.
«La mayor parte del malware observado fue capaz de robar tanto las contraseñas de usuario como las cookies. Algunas de las muestras utilizaron varias técnicas anti-sandboxing, incluidos archivos ampliados, archivos cifrados y encubrimiento de IP de descarga».
Google identificó al menos 1.011 dominios asociados con estos ataques y aproximadamente 15.000 cuentas de actor creadas específicamente para esta campaña y utilizadas para enviar correos electrónicos de phishing con enlaces a páginas de destino de malware a los correos electrónicos comerciales de los YouTubers.
Vendido por hasta $ 4,000 en mercados clandestinos
Una cantidad significativa de canales de YouTube secuestrados en estos ataques fueron posteriormente renombrados para hacerse pasar por administradores de tecnología de alto perfil o intercambios de criptomonedas y se usaron para la transmisión en vivo de estafas de criptomonedas.
Otros se han vendido en mercados clandestinos de comercio de cuentas, donde valen entre $ 3 y $ 4,000, dependiendo del número total de suscriptores.
Shen agregó que el Grupo de análisis de amenazas de Google ha reducido los correos electrónicos de phishing relacionados con estos ataques en Gmail en un 99,6% desde mayo de 2021.
«Bloqueamos 1,6 millones de mensajes a destinos, mostramos ~ 62.000 alertas de páginas de phishing de Navegación segura, bloqueamos 2,400 archivos y restauramos con éxito ~ cuentas de 4K», dijo Shen.
«A medida que aumentaron nuestros esfuerzos de detección, hemos visto a los atacantes cambiar de Gmail a otros proveedores de correo electrónico (principalmente email.cz, seznam.cz, post.cz y aol.com)».
Google también ha informado de esta actividad maliciosa al FBI para que realice una mayor investigación a fin de proteger a los usuarios de YouTube y a los YouTubers objetivo de la campaña.
