Группа анализа угроз Google (TAG) сегодня раскрыла подробности финансово мотивированной фишинг-кампании, направленной на авторов YouTube с помощью вредоносного ПО для «кражи файлов cookie», которая действовала с 2019 года.

Кража файлов cookie, которую TAG также описывает как атаку «передачи файлов cookie», представляет собой тактику захвата сеанса, которая дает злоумышленнику доступ к учетным записям пользователей с помощью файлов cookie сеанса, хранящихся в браузере. По словам TAG, это метод, который существует уже много лет. Его возрождение может быть связано с более широким распространением многофакторной аутентификации, побуждающей преступников сосредоточиться на социальной инженерии.

Злоумышленников связывают с группой лиц, нанятых на русскоязычном форуме, пишет TAG в своем блоге. Обычно они заманивают цель электронным письмом о возможности рекламного сотрудничества; например, демонстрацией антивирусного программного обеспечения, VPN, музыкальных плееров, редактирования фотографий или онлайн-игр. TAG отмечает, что многие создатели YouTube указывают свои адреса электронной почты на своих каналах.

Когда жертва соглашается на сделку, злоумышленники отправляют целевую страницу вредоносного ПО, замаскированную под URL-адрес для загрузки программного обеспечения, по электронной почте или в формате PDF на Google Диске. Исследователи сообщают, что злоумышленники зарегистрировали различные домены, связанные с поддельными компаниями, и создали несколько веб-сайтов для доставки вредоносного ПО. Они выявили не менее 1011 доменов, созданных для этой цели.

После запуска поддельное программное обеспечение запускает вредоносное ПО для кражи файлов cookie. Оно собирает файлы cookie браузера с машины жертвы и загружает их на командные серверы злоумышленников. Исследователи отметили, что большая часть вредоносных программ может красть как пароли пользователей, так и файлы cookie. Некоторые использовали техники обхода «песочниц» ( англ. sandbox), такие как увеличенные файлы, зашифрованный архив и маскировку IP.

Некоторые взломанные учетные записи были проданы на рынках торговли аккаунтами, где они продавались по цене от 3 до 4000 долларов США в зависимости от количества подписчиков. Многие из них были переименованы для непосредственного мошенничества с криптовалютой, в котором название канала, изображение профиля и контент были заменены брендингом криптовалюты, чтобы обмануть крупные технологические фирмы или фирмы, занимающиеся обменом криптовалют. Злоумышленники транслировали в прямом эфире видеоролики, обещая раздачу криптовалюты в обмен на первоначальный взнос.

Перевод статьи «Google: Phishing Campaign Targets YouTube Creators»