Google заявляет, что создатели YouTube стали жертвами фишинговых атак, использующих вредоносное ПО для кражи паролей, координируемое финансово мотивированными злоумышленниками.
Исследователи из группы анализа угроз (TAG) Google, которые впервые заметили эту кампанию в конце 2019 года, обнаружили, что за этими атаками стояло несколько лиц, нанятых по найму через объявления о вакансиях на русскоязычных форумах.
Злоумышленники использовали социальную инженерию (через целевые страницы поддельного программного обеспечения и учетные записи в социальных сетях) и фишинговые электронные письма, чтобы заразить создателей YouTube вредоносными программами для кражи информации, выбранными в зависимости от предпочтений каждого злоумышленника.
Каналы, захваченные в результате атак с использованием pass-the-cookie
Вредоносные программы, обнаруженные в атаках, включают такие массовые штаммы, как RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad и Kantal, а также программы с открытым исходным кодом, такие как AdamantiumThief и просочившиеся инструменты, такие как Sorano. .
После доставки в системы целей вредоносное ПО использовалось для кражи их учетных данных и файлов cookie браузера, что позволяло злоумышленникам захватывать учетные записи жертв в атаках с передачей файлов cookie.
«Хотя этот метод существует уже несколько десятилетий , его возрождение в качестве главной угрозы безопасности может быть связано с более широким внедрением многофакторной аутентификации (MFA), затрудняющей совершение злоупотреблений, и смещением внимания злоумышленника к тактике социальной инженерии», — сказал Эшли Шен, инженер по безопасности TAG.
«Большинство обнаруженных вредоносных программ было способно красть как пароли пользователей, так и файлы cookie. В некоторых образцах использовалось несколько методов защиты от песочницы, включая увеличение файлов, зашифрованный архив и маскировку загрузки IP».
Google выявил не менее 1011 доменов, связанных с этими атаками, и примерно 15 000 учетных записей участников, специально созданных для этой кампании и используемых для доставки фишинговых писем, содержащих ссылки, перенаправляющие на целевые страницы вредоносных программ на деловые электронные письма создателей YouTube.
Продается до 4000 долларов на подпольных рынках
Значительное количество каналов YouTube, захваченных в ходе этих атак, позже было переименовано, чтобы выдавать себя за высокопоставленных технических руководителей или фирм, занимающихся обменом криптовалют, и использовалось для мошенничества с потоковой передачей криптовалюты.
Другие продавались на подпольных рынках торговли счетами, где они стоили от 3 до 4000 долларов, в зависимости от общего количества подписчиков.
Шен добавил, что группа анализа угроз Google сократила количество фишинговых писем, связанных с этими атаками на Gmail, на 99,6% с мая 2021 года.
«Мы заблокировали 1,6 млн сообщений для целей, отобразили ~ 62 тыс. Предупреждений о фишинговых страницах Безопасного просмотра, заблокировали 2,4 тыс. Файлов и успешно восстановили ~ 4К учетных записей», — сказал Шен .
«Благодаря усиленным усилиям по обнаружению, мы заметили, что злоумышленники переходят от Gmail к другим поставщикам услуг электронной почты (в основном, email.cz, seznam.cz, post.cz и aol.com)».
Google также сообщил об этой злонамеренной деятельности в ФБР для дальнейшего расследования с целью защиты пользователей и авторов YouTube, на которых распространяется кампания.
Последнее обновление 05.01.2023
