Google рассказала, что уже два года отбивается от постоянных атак российских хакеров на YouTube-каналы
Подразделение Google Threat Analysis Group (TGA) опубликовало отчёт об атаках на YouTube-каналы, в организации которых обвиняет группу хакеров, завербованных на русскоязычных форумах. Злоумышленники заманивают жертву фальшивыми предложениями о рекламе продуктов (антивирусов, сервисов VPN, плееров, графических редакторов или игр), завладевают каналами, продают их или используют для криптовалютных скамов. По словам Google, начало организованных атак российских хакеров пришлось на конец 2019 года.
Google заявила, что для взлома злоумышленники используют файлы cookie, хранящихся в браузере. Компания отметила, что этому методу уже десятки лет, но в последнее время злоумышленники всё чаще к нему обращаются. Cookie хранят важную для взломщика информацию, такую как хеш пароля и id пользователя. С их помощью можно получить доступ к аккаунту.
В ходе атаки хакеры рассылают блогерам фейковые письма с предложениями о заказе рекламы. Они выдают себя за представителей различных компаний, предлагая прорекламировать их продукт. Когда цель соглашается на сделку, злоумышленник отправляет вредоносную ссылку или PDF-файл на Google-диске. В некоторых случаях блогерам отправляли Google-документы с вредоносными ссылками внутри.
В общей сложности компания обнаружила около 15 тысяч аккаунтов хакеров, использующих этот метод, и более тысячи поддельных доменов. В некоторых случаях злоумышленники копировали страницы компаний в социальных сетях и ставили в описание вредоносную ссылку.
Пример письма с фейковым предложением
Поскольку Gmail научилась блокировать фишинговые ссылки, злоумышленники чаще всего использовали WhatsApp, Telegram или Discord для общения с потенциальной жертвой. После перехода по ссылке и запуска вредоносная программа похищает cookie браузера с компьютера жертвы и загружает их на серверы хакеров.
Большинство вредоносных программ размещены на Github, в том числе открыто. Среди них Google указала RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad и Kantal. Кроме того, она упомянула зловреды с открытым исходным кодом — Sorano и AdamantiumThief. Любой желающий может скачать к себе текст кода и на своём оборудовании компилировать вредонос.
Большую часть украденных YouTube-каналов хакеры переименовывали и использовали для криптовалютных скамов. Название, оформление и описание подделывали под технологические бренды и фирмы по обмену криптовалютами. Злоумышленники транслировали видео в прямом эфире, обещая раздачу цифровой валюты в обмен на первоначальный взнос. Стоимость захваченных каналов варьировалась от $3 до $4 тысяч, в зависимости от количества подписчиков.
Согласно отчёту, TGA вместе с YouTube, Gmail, Trust & Safety и Safe Browsing с мая этого года на 99,6% сократило количество фишинговых писем в Gmail. Кроме того, Google заблокировала около 1,6 млн сообщений от хакеров, отправила около 62 тысяч предупреждений в Safe Browsing о переходе на фишинговые страницы, заблокировала 2,4 тысячи файлов и восстановила около 4 тысяч профилей. По словам компании, из-за ужесточения систем защиты хакеры переходят на другие почтовые сервисы, преимущественно email.cz, seznam.cz, post.cz и aol.com.
Полный отчёт опубликован в статье Phishing campaign targets YouTube creators with cookie theft malware.
