O grupo de análises de ameaças do Google divulgou detalhes de como os hackers conseguiram roubar milhares de contas de criadores de conteúdo do YouTube nos últimos dois anos.
De acordo com o Threat Analysis Group (TAG) do Google, os hackers usaram "malware para roubo de cookies" como parte de um golpe de criptomoeda para atingir os YouTubers.
O Google afirma que vem bloqueando campanhas de pishing com motivação financeira direcionadas a YouTubers com malware para roubo de cookies desde 2019.
Segundo o TAG, os responsáveis por trás destes golpes são de um grupo de hackers recrutados em um fórum de língua russa.
Eles atraem os alvos com falsas oportunidades de colaboração normalmente com uma demonstração de software antivírus, VPN, tocadores de música, edição de fotos ou jogos online.
Após isso, eles sequestram o canal e vendem para quem der o maior lance em fóruns clandestinos ou usa o canal para publicar vídeos com golpes de criptomoeda.
O roubo de cookies rotulado como um ataque "pass-the-cookie" pelo TAG, é uma técnica de sequestro de sessão que permite o acesso a contas de usuário com cookies de sessão armazenados no navegador.
Esta é uma técnica muito antiga, mas está ressurgindo como um dos principais riscos de segurança para quem usa navegadores web para armazenar informações.
O TAG disse que isso pode ser devido a uma adoção mais ampla da autenticação multifator (MFA) que está dificultando a vida dos invasores e forçando-os a usarem táticas de engenharia social.
Engenharia social por trás do roubo de contas no YouTube
Quando a vítima concorda com um acordo, os hackers enviam uma página de destino do malware disfarçada de URL de download de software por e-mail ou PDF no Google Drive.
Cerca de 15.000 contas de atores foram identificadas, a maioria das quais criada especificamente para esta campanha.
Os invasores registraram vários domínios associados a empresas falsificadas e construíram vários sites para entrega de malware. Até agora, o Google identificou pelo menos 1.011 domínios criados exclusivamente para essa finalidade.
Alguns dos sites representavam sites de software legítimos, como Luminar, Cisco VPN, jogos na Steam e alguns foram gerados usando modelos online.
Durante a pandemia, o TAG também descobriu invasores se passando por provedores de notícias com um "software de notícias COVID-19".
Assim que o alvo executa o software falso, um malware que rouba cookies é executado, pegando os cookies do navegador da máquina da vítima e enviando-os para os servidores de comando e controle do hacker.
A maioria dos malwares observados era capaz de roubar senhas de usuários e cookies. Algumas das amostras empregaram várias técnicas anti-sandboxing.
Incluindo arquivos ampliados, arquivo criptografado e download de camuflagem de IP. Alguns foram observados exibindo uma mensagem de erro falsa, exigindo o clique do usuário para continuar a execução.
Um grande número de canais sequestrados foram renomeados para transmissão ao vivo de vídeos para recrutar vítimas para fraude de criptomoeda.
O nome do canal, a imagem do perfil e o conteúdo foram todos substituídos pela marca da criptomoeda para representar grandes empresas de tecnologia ou troca de criptomoeda.
Na maioria deles, o invasor transmitiu vídeos ao vivo prometendo ofertas de criptomoedas em troca de uma contribuição inicial.
Dependendo do número de assinantes, o valor dos canais sequestrados variaram de US $ 3,00 a US $ 4.000 em mercados de negociação de contas.
Em colaboração com as equipes do YouTube, Gmail, Trust & Safety, CyberCrime Investigation Group e Safe Browsing, as proteções do Google diminuíram o volume de e-mails de phishing relacionados no Gmail em 99,6% desde maio de 2021.
A equipe do TAG bloqueou 1,6 milhão de mensagens para os alvos e exibiu aproximadamente 62 mil avisos de página de phishing de navegação segura, bloqueou 2,4 mil arquivos e restaurou com êxito aproximadamente 4 mil contas.
"Com o aumento dos esforços de detecção, observamos os invasores mudando do Gmail para outros provedores de e-mail (principalmente email.cz, seznam.cz, post.cz e aol.com)", disse Ashley Shen com o TAG do Google.
Além disso, para proteger seus usuários, o Google também compartilhou as descobertas com o FBI para uma investigação mais aprofundada.
O Google também recomendou alguns procedimentos para seus usuários se protegerem deste tipo de ameaça, como ativar a verificação em duas etapas em suas contas e escanear qualquer software antes de executa-lo no dispositivo.
Via: Google Blog
