Cyberprzestępcy z rosyjskojęzycznego forum hakerskiego są odpowiedzialni za kampanię phishingową wymierzoną w youtuberów. Ich celem była kradzież plików cookie, przejęcie kont i kanałów na platformie, a następnie ich sprzedaż lub wykorzystanie do oszustw kryptowalutowych.
Zespół ds. analizy zagrożeń koncernu Google od 2019 roku prowadzi działania mające na celu zakłócenie kampanii phishingowych umotywowanych finansowo, których celem są twórcy na YouTube. Autorzy cyberataków wykorzystują złośliwe oprogramowanie do kradzieży plików cookie.
Za wrogą operację odpowiedzialni są cyberprzestępcy z rosyjskojęzycznego forum hakerskiego. Analiza wykazała, że zwabiają swoje ofiary poprzez oferowanie im możliwości współpracy. Zależy im na przejęciu kanału danego twórcy, aby następnie go sprzedać po jak najwyższej cenie lub też wykorzystać do innych oszustw, np. związanych z kryptowalutami.
Jak wskazuje koncern, od maja br. udało mu się zablokować 1,6 mln wiadomości phishingowych, skierowanych do youtuberów. Gigant wydał również 62 tys. alertów dotyczących kampanii. Specjaliści zaobserwowali, że cyberprzestępcy odchodzą od posługiwania się Gmailem na rzecz innych dostawców poczty elektronicznej. Google przekazał sprawę FBI w celu dalszego zbadania.
Jak działali cyberprzestępcy?
Stosowali przede wszystkim metodę ataku „pass-the-cookie”, polegającą na kradzieży plików cookie. Pozwala to na uzyskanie dostępu do kont użytkowników za pomocą „ciasteczek” przechowywanych w przeglądarce internetowej.
W tym miejscu warto wskazać, że wielu youtuberów na swoich kanałach podaje e-maile w celu ułatwienia kontaktu potencjalnym partnerom biznesowym. Cyberprzestępcy skorzystali z tego „zaproszenia” i rozsyłali fałszywe wiadomości, podszywając się pod jedną z firm. Ich treść zawierała ofertę biznesową dotyczącą reklamy wideo na kanale.
Kampania rozpoczynała się od wysłania spersonalizowanego e-maila, który opisywał działalność firmy oraz jej produktów. Po przedstawieniu oferty biznesowej, gdy ofiara zgodziła się na zawarcie umowy, cyberprzestępcy wysyłali na jej skrzynkę plik PDF lub wiadomość z linkiem do zainfekowanej strony.
Eksperci wykryli około 15 tys. kont, z których rozsyłano wiadomości phishingowe – większość z nich została specjalnie utworzona na potrzeby kampanii. Ponadto, jak dotąd, eksperci trafili na ok. 1011 domen, które powstały z myślą o operacji. „Niektóre witryny imitowały legalne strony, takie jak Luminar, Cisco VPN czy Steam, podczas gdy inne zostały wygenerowane przy użyciu szablonów dostępnych online” – wskazuje zespół ds. analizy zagrożeń Google’a.
Na dalszym etapie kliknięcie w załącznik powodowało uruchomienie złośliwego oprogramowania przeznaczonego do kradzieży plików cookie. Wirus pobierał „ciasteczka” z przeglądarki, a następnie przesyłał je na serwery kontrolowane przez cyberprzestępców.
Co z przejętymi kontami?
Po przejęciu kont, kanały youtuberów zmieniały się w źródła propagujące transakcje kryptowalutowe, które w rzeczywistości okazywały się oszustwami. Nazwy kanałów, zdjęcia profilowe oraz treści tworzono na nowo, tak aby przypominały profile dużych firm technologicznych lub giełd wirtualnych walut.
Cyberprzestępcy w transmisjach na żywo obiecywali odbiorcom otrzymanie kryptowalut w zamian za niewielki wkład finansowy.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.