Hackeři kradou cookies, aby se zmocnili prominentních účtů na YouTube

Zpět na blog

Přinejmenším od konce roku 2019 se síť nájemných hackerů zmocňuje kanálů tvůrců na YouTube a láká na falešné příležitosti ke spolupráci, aby vysílali podvodná videa s kryptoměnami nebo prodávali účty tomu, kdo nabídne nejvíc.

Vyplývá to z nové zprávy zveřejněné skupinou Threat Analysis Group (TAG) společnosti Google, která uvedla, že narušila finančně motivované phishingové kampaně s malwarem pro krádeže cookies zaměřené na videoplatformu společnosti. Aktéři stojící za infiltrací byli připsáni skupině hackerů naverbovaných na ruskojazyčném fóru.

Automatické zálohování služby GitHub

„Krádež souborů cookies, známá také jako ‘pass-the-cookie attack’, je technika hijacku relace, která umožňuje přístup k uživatelským účtům pomocí souborů cookie relace uložených v prohlížeči,“ uvedl Ashley Shen z TAG. „Ačkoli je tato technika známá již desítky let, její opětovný nárůst jako hlavního bezpečnostního rizika může být způsoben širším zavedením vícefaktorového ověřování (MFA), které ztěžuje zneužití, a přesunem pozornosti útočníků na taktiky sociálního inženýrství.“

Internetový gigant uvedl, že od května zablokoval 1,6 milionu zpráv a obnovil téměř 4 000 účtů influencerů na YouTube, kteří byli zasaženi kampaní sociálního inženýrství, přičemž některé z napadených kanálů se na trzích s účty prodávají i za 4 000 dolarů v závislosti na počtu odběratelů.

Jiné kanály byly naopak přeznačeny na podvody s kryptoměnami, při nichž protivník živě vysílal videa slibující rozdávání kryptoměn výměnou za počáteční příspěvek, ale až poté změnil název kanálu, profilový obrázek a obsah tak, aby napodoboval velké technologické firmy nebo směnárny kryptoměn.

Útoky spočívaly v zasílání škodlivého odkazu majitelům kanálů pod záminkou spolupráce na videoreklamě antivirového softwaru, VPN klientů, hudebních přehrávačů, aplikací pro úpravu fotografií nebo online her, který po kliknutí přesměroval příjemce na cílovou stránku se škodlivým softwarem, přičemž některé z nich se vydávaly za stránky s legitimním softwarem, například Luminar a Cisco VPN, nebo se maskovaly za média zaměřená na covid-19.

Předcházení útokům ransomwaru

Společnost Google uvedla, že za phishingovými zprávami našla ne méně než 15 000 účtů a 1 011 domén, které byly účelově vytvořeny pro doručování podvodného softwaru zodpovědného za spuštění malwaru kradoucího soubory cookies, jehož cílem bylo získat hesla a ověřovací soubory cookies z počítače oběti a nahrát je na řídicí a kontrolní servery aktéra.

Hackeři pak pomocí souborů cookies relace přebírali kontrolu nad účtem tvůrce na YouTube, čímž účinně obcházeli dvoufaktorové ověřování (2FA), a také podnikali kroky ke změně hesel a e-mailových a telefonních čísel pro obnovení účtu.

Po zásahu společnosti Google bylo pozorováno, že pachatelé ve snaze obejít ochranu Gmailu proti phishingu přesměrovávají své cíle do aplikací pro zasílání zpráv, jako jsou WhatsApp, Telegram a Discord, nemluvě o přechodu k jiným poskytovatelům e-mailu, jako jsou aol.com, email.cz, seznam.cz a post.cz. Uživatelům se důrazně doporučuje zabezpečit své účty dvoufaktorovým ověřováním, aby se předešlo útokům.

Zdroj: The Hacker News

27. 10. 2021