Noticias

Cómo los hackers secuestraron miles de cuentas de influencers de YouTube

El grupo de análisis de amenazas (TAG) de Google reveló el miércoles detalles de cómo los piratas informáticos utilizaron «malware de robo de cookies» para apuntar a los creadores de YouTube durante los últimos dos años, como parte de un intento de estafa de criptomonedas.

En una entrada de blog publicada el miércolesGoogle dice que desde 2019 su equipo ha interrumpido las campañas de phishing por motivos financieros dirigidas a YouTubers con malware para robar cookies.

Según TAG Google, los actores detrás de esta campaña son un grupo de piratas informáticos reclutados en un foro de habla rusa, que atraían a su objetivo con oportunidades de cooperación falsas (generalmente demostraciones de software antivirus, VPN, reproductores de música, edición de fotos o juegos en línea). ), secuestrar su canal, luego venderlo al mejor postor o usarlo para transmitir estafas de criptomonedas.

El robo de cookies, también etiquetado por TAG como un ataque de «pasar la cookie», es una técnica de secuestro de sesión que permite el acceso a cuentas de usuario con cookies de sesión almacenadas en el navegador.

TAG dice que si bien la técnica ha existido durante años, su resurgimiento como un riesgo de seguridad clave podría deberse a una adopción más amplia de la autenticación de múltiples factores (MFA), lo que dificulta el abuso y se enfoca en cambiar al atacante a tácticas de ingeniería social.

Cuando la víctima acepta un trato, los piratas informáticos envían una página de inicio de malware disfrazada como una URL de descarga de software por correo electrónico o un PDF en Google Drive. Se identificaron alrededor de 15.000 cuentas de activistas, la mayoría de las cuales fueron creadas específicamente para esta campaña.

Los atacantes registraron varios dominios pertenecientes a empresas falsas y crearon varios sitios web para la entrega de malware. La empresa ha identificado al menos 1.011 dominios creados con este único fin hasta la fecha.

Algunos de los sitios web imitaron sitios de software legítimos, como Luminar, Cisco VPN, juegos en Steam, y algunos se generaron utilizando plantillas en línea. Durante la pandemia, también expuso a atacantes que se hacían pasar por proveedores de noticias con «software de noticias Covid19».

Una vez que el objetivo ejecuta el software falso, el malware de robo de cookies opera, toma las cookies del navegador de la máquina de la víctima y las carga en los servidores de comando y control del actor.

La mayor parte del malware observado pudo robar las contraseñas de los usuarios y las cookies. Algunas de las muestras utilizaron una serie de técnicas anti-sandboxing, incluidas extensiones de archivo, archivos cifrados y descargas de IP clobbing. Se ha visto que algunos de ellos muestran un mensaje de error falso que requiere que el usuario haga clic para continuar con la ejecución.

Una gran cantidad de canales secuestrados han sido renombrados para transmisión en vivo de estafas de criptomonedas. El nombre del canal, la imagen de perfil y todo el contenido se reemplazaron con la marca de criptomonedas para imitar a las grandes empresas de intercambio de tecnología o criptomonedas. El atacante transmitió videos en vivo que prometían regalos en criptomonedas a cambio de una contribución inicial.

Dependiendo de la cantidad de suscriptores, los canales secuestrados oscilaron entre $ 3 USD y $ 4,000 USD en los mercados comerciales de cuentas.

En colaboración con los equipos de YouTube, Gmail, Trust & Safety, CyberCrime Investigation Group y Safe Browsing, las defensas de Google han reducido la cantidad de correos electrónicos de phishing relacionados en Gmail en un 99,6 % desde mayo de 2021.

El equipo de TAG bloqueó 1,6 millones de mensajes a objetivos, mostró ~62 000 advertencias de página de phishing de Navegación segura, bloqueó 2,4 000 archivos y restauró con éxito ~4 000 cuentas.

«Con mayores esfuerzos de detección, vimos que los atacantes cambiaban de Gmail a otros proveedores de correo electrónico (principalmente email.cz, seznam.cz, post.cz y aol.com)», dijo Ashley Shen de TAG Google. Además, para proteger a sus usuarios, Google compartió los resultados con el FBI para una mayor investigación.

Google también ha aconsejado a sus usuarios que se protejan de tales amenazas protegiendo sus cuentas con la verificación en dos pasos (autenticación de múltiples factores), realizando un análisis de virus antes de ejecutar el software, etc.

HackNarrow

Informático de profesión, me dedico a probar nuevas versiones de hardware y verificar la seguridad e integridad de servidores y firewalls. Escribo un poco sobre novedades en la rama de la seguridad informática en general.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!