Come gli hacker hanno dirottato migliaia di account YouTube

Almeno dalla fine del 2019, una rete di hacker su commissione ha dirottato i canali dei creatori di YouTube, attirandoli con false opportunità di collaborazione per trasmettere truffe di criptovaluta o vendere gli account al miglior offerente.

Questo è secondo un nuovo rapporto pubblicato dal Threat Analysis Group (TAG) di Google, che afferma di aver interrotto le campagne di phishing motivate finanziariamente che prendono di mira la piattaforma video con malware per il furto di cookie. Gli attori dietro l'infiltrazione sono stati attribuiti a un gruppo di hacker reclutati in un forum di lingua russa.

"Il furto di cookie, noto anche come "attacco pass-the-cookie", è una tecnica di dirottamento della sessione che consente l'accesso agli account utente con i cookie di sessione memorizzati nel browser", ha affermato Ashley Shen di TAG . "Mentre la tecnica è in circolazione da decenni, la sua rinascita come uno dei principali rischi per la sicurezza potrebbe essere dovuta a una più ampia adozione dell'autenticazione a più fattori (MFA) che rende difficile condurre abusi e spostando l'attenzione degli aggressori sulle tattiche di ingegneria sociale".

Da maggio, il gigante di Internet ha notato di aver bloccato 1,6 milioni di messaggi e ripristinato quasi 4.000 account di influencer di YouTube interessati dalla campagna di ingegneria sociale, con alcuni dei canali dirottati che vendono da $ 3 a $ 4.000 sui mercati di trading di account a seconda del numero di iscritti.

Altri canali, al contrario, sono stati rinominati per truffe di criptovaluta in cui l'avversario trasmetteva in live streaming video che promettevano omaggi di criptovaluta in cambio di un contributo iniziale, ma non prima di aver alterato il nome del canale, l'immagine del profilo e il contenuto per falsificare grandi società di scambio di tecnologia o criptovaluta .

Gli attacchi hanno comportato l'invio di un collegamento dannoso ai proprietari dei canali con lo stratagemma di collaborazioni pubblicitarie video per software antivirus, client VPN, lettori musicali, app di fotoritocco o giochi online che, se cliccati, reindirizzavano il destinatario a un sito di atterraggio di malware, alcuni di cui si sono spacciati per siti software legittimi, come Luminar e Cisco VPN, o mascherati da media incentrati su COVID-19.

Google ha affermato di aver trovato non meno di 15.000 account dietro i messaggi di phishing e 1.011 domini creati appositamente per fornire il software fraudolento responsabile dell'esecuzione di malware che ruba cookie progettato per estrarre password e cookie di autenticazione dalla macchina della vittima e caricarli sul comando dell'attore -and-control server.

Gli hacker utilizzerebbero quindi i cookie di sessione per assumere il controllo dell'account di un creatore di YouTube, aggirando efficacemente l'autenticazione a due fattori (2FA), nonché per modificare le password, l'e-mail e i numeri di telefono di recupero dell'account.

A seguito dell'intervento di Google, gli autori sono stati osservati guidare obiettivi verso app di messaggistica come WhatsApp, Telegram e Discord nel tentativo di aggirare le protezioni anti-phishing di Gmail, per non parlare del passaggio ad altri provider di posta elettronica come aol.com, email.cz, seznam. cz e post.cz. Si consiglia vivamente agli utenti di proteggere i propri account con l'autenticazione a due fattori per prevenire tali attacchi di acquisizione.