Η Google μπλόκαρε 1,6 εκατομμύρια μηνύματα ηλεκτρονικού ψαρέματος από τον Μάιο του 2021 που αποτελούσαν μέρος μιας καμπάνιας malware που είχε σαν στόχο την παραβίαση λογαριασμών του YouTube και την προώθηση απάτης με κρυπτονομίσματα.
Σύμφωνα με την Ομάδα Ανάλυσης Απειλών (TAG από το Threat Analysis Group) της Google, που από τα τέλη του 2019 διακόπτει τις καμπάνιες ηλεκτρονικού “ψαρέματος” που διεξάγονται από ένα δίκτυο Ρώσων hacker και στοχεύουν τους YouTubers με “πολύ προσαρμοσμένα” μηνύματα ηλεκτρονικού “ψαρέματος” και κακόβουλο λογισμικό κλοπής cookie.
Ο κύριος στόχος της ομάδας ήταν να παραβιάσει λογαριασμούς YouTube για την προβολή live-stream scams που προσφέρουν δωρεάν κρυπτονομίσματα με αντάλλαγμα μια αρχική συνεισφορά. Η άλλη κύρια πηγή εσόδων της ομάδας ήταν η πώληση καναλιών YouTube από 3 έως 4.000 δολάρια, ανάλογα με το πόσους συνδρομητές έχει το κάθε κανάλι.
Από τον Μάιο του 2021, η Google αναφέρει ότι έχει μπλοκάρει 1,6 εκατομμύρια μηνύματα σε στόχους, έχει εμφανίσει 62.000 ειδοποιήσεις ηλεκτρονικού ψαρέματος Ασφαλούς περιήγησης και έχει αποκαταστήσει περίπου 4.000 παραβιασμένους λογαριασμούς.
Τα μηνύματα ηλεκτρονικού ψαρέματος παρέδιδαν κακόβουλο λογισμικό σχεδιασμένο να κλέβει cookies από τα προγράμματα περιήγησης.
Αν και η επίθεση “pass-the-cookie” δεν είναι νέα, είναι πολύ αποτελεσματική: δεν παρακάμπτει τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), αλλά λειτουργεί ακόμη και όταν οι χρήστες ενεργοποιούν το MFA σε έναν λογαριασμό επειδή το cookie περιόδου λειτουργίας υποκλέπτεται αφού ο χρήστης έχει ήδη πιστοποιηθεί δύο φορές, από έναν κωδικό πρόσβασης και ένα smartphone για παράδειγμα.
Μόλις τρέξει το κακόβουλο λογισμικό, το cookie ανεβαίνει στους διακομιστές του εισβολέα προσφέροντάς του στο πιάτο τον λογαριασμό.
Η Google αποδίδει την καμπάνια σε μια ομάδα “hack-for-hire” που στρατολογήθηκε σε ένα ρωσόφωνο forum.
Στη συνέχεια, οι hackers ξεγελούν τους στόχους με ψεύτικα επιχειρηματικά email, όπως η ευκαιρία να δημιουργήσετε έσοδα από μια επίδειξη για λογισμικό προστασίας από ιούς, VPN, συσκευές αναπαραγωγής μουσικής, λογισμικό επεξεργασίας φωτογραφιών ή διαδικτυακά παιχνίδια. Στη συνέχεια, όμως, οι επιτιθέμενοι κλέβουν το κανάλι YouTube και είτε το πουλούν είτε το χρησιμοποιούν για να μεταδώσουν live-stream scams κρυπτονομισμάτων.
Η Google εντόπισε επίσης 1.011 domains που δημιουργήθηκαν για την παράδοση του κακόβουλου λογισμικού. Τα domains υποδύονταν γνωστούς ιστότοπους τεχνολογίας, όπως τους Luminar, Cisco VPN, και διαφόρων παιχνιδιών στο Steam.
Η εταιρεία αναφέρει ότι οι hackers τρέχουν το κακόβουλο λογισμικό κλοπής cookie περιοδικά για να μειώσουν την πιθανότητα εντοπισμού από λογισμικά ασφαλείας.
