Google определил, как хакеры взламывают популярные аккаунты YouTube

Группа анализа угроз Google Группа анализа угроз Google опубликовала отчёт, в котором подробно описывается, как в течение нескольких лет фишинговые хакеры захватывали популярные аккаунты YouTube, зарабатывая деньги с помощью мошенничества с криптовалютой и других методов.

С конца 2019 года Google отслеживает и пресекает действия мошенников, которых описывает как «группу хакеров, завербованных на русскоязычном форуме». Их операционная модель сочетает вредоносное ПО на основе файлов cookie и тактику социальной инженерии. Она не слишком сложна и нова, но оказалась чрезвычайно эффективной, учитывая популярность метода.

Хакеры обычно начинают с отправки электронного письма владельцу учётной записи YouTube, выражая заинтересованность в сотрудничестве. Адрес отправителя обычно представляет собой фальсифицированный рабочий адрес электронной почты якобы реальной компании.

Рекламные предложения могут быть любыми: от антивирусного программного обеспечения или VPN до онлайн-игр и приложений для редактирования.
Как и в случае с любой другой сделкой с влиятельными лицами, в электронном письме будет обсуждаться стандартная рекламная договорённость. Владелец канала YouTube должен будет продвигать продукт, демонстрируя весь процесс его загрузки и открытия для своих зрителей.

Но когда создатели нажимают на ссылку для загрузки, отправленную по электронной почте или через Google Диск, они попадают на сайт загрузки вредоносного ПО. По данным Google, они обнаружили не менее 1011 доменов и 15 тыс. учётных записей электронной почты, используемых для этой цели.

Многие операторы выдавали себя за лидирующие на рынке компании, такие как Steam, Cisco и Luminar. Была также пара, которая воспользовалась ситуацией пандемии и продвигала «новостное программное обеспечение COVID-19)».

Как только жертва загружает программное обеспечение, оно берёт файлы cookie браузера с компьютера жертвы и отправляет их на серверы злоумышленников. Вредоносное ПО, используемое для этого, легко доступно на Github.

Среди наиболее распространённых — Vikro Stealer, Vidar, Raccoon, AdamantiumThief, Nexus Stealer и Azorult.

«Большинство обнаруженных вредоносных программ были способны красть как пароли пользователей, так и файлы cookie», — говорится в анализе Google.

Когда «сеансовые куки» украдены, хакеры могут фактически выдать себя за жертву. Они не требуют паролей и не должны проходить через другие циклы аутентификации. Попав внутрь учётной записи, хакеры сразу же меняют резервный адрес электронной почты и пароль жертвы.

Затем они контролируют учётные записи и могут заблокировать их создателей. Файлы cookie также могут использоваться для кражи средств с финансовых счетов жертвы.

Согласно отчёту TheRecord.Media о расследовании, компания отследила украденный аккаунт американского игрока MacroStyle на российском рынке. Этот онлайн-рынок, называемый торговыми группами, имеет интерфейс, похожий на Amazon, где пользователи могут продавать свои учётные записи в социальных сетях.

TheRecord обнаружил аномалию, когда несколько обычных пользователей ежедневно продавали сотни аккаунтов. Это указывало на то, что пользователи не были первоначальными владельцами учётных записей. Стоимость взломанных аккаунтов на торговых рынках варьировалась в районе $3-4 тыс. в зависимости от количества подписчиков.

Многие каналы использовались хакерами для прямой трансляции криптовалютных предложений. Профиль изменяли, чтобы подражать законным торговым агентствам или установленным корпорациям — многие использовали варианты Space X или «Илон Маск».

Мошенники раздают криптовалютные предложения в обмен на первоначальный взнос, тем самым увеличивая монетизацию взлома через аудиторию жертвы.