Les auteurs de contenu YouTube font l'objet de campagnes de phishing à motivation financière depuis fin XNUMX, selon les chercheurs en cybersécurité de Google. Le Threat Analysis Group (TAG) du géant de la recherche a partagé les détails de ces campagnes contrecarrées orchestrées avec le malware Cookie Theft. "En coopération avec YouTube, Gmail, Trust & Safety, CyberCrime Investigation Group et les équipes de Safe Browsing, nos protections ont réduit le volume d'e-mails de phishing dans Gmail de XNUMX % depuis mai XNUMX." , partage Ashley Shen, spécialiste du TAG, dans un blog. . poster. TAG attribue les campagnes à des acteurs de la menace recrutés via un forum de discussion furtif russophone.
Smash et saisir
Shen affirme que les pirates attirent leur cible avec de fausses opportunités de coopération, soit avant d'utiliser un logiciel infecté pour détourner leur chaîne, qu'ils vendent ensuite au plus offrant (jusqu'à XNUMX €), soit l'utilisent pour livrer des crypto-monnaies frauduleuses. La technique de vol de cookies utilisée par les attaquants leur a permis de détourner les comptes d'utilisateurs de la victime via des cookies de session stockés dans leurs navigateurs Web. "Bien que la technique existe depuis des décennies, sa renaissance en tant que risque critique pour la sécurité pourrait être due à une adoption plus large de l'authentification multifacteur (MFA) qui complique les abus et détourne l'attention des attaquants vers les tactiques. "Ingénierie sociale", partage Shen. Fait intéressant, Shen dit que le logiciel malveillant utilisé dans la campagne a été exécuté en mode non persistant pour s'assurer qu'il ne persisterait pas sur un système compromis assez longtemps pour attirer l'attention des produits de sécurité.
Migré vers un autre endroit
Commentant la taille des campagnes, Shem dit que TAG en a identifié plus d'une avec zéro domaine, comme une quinzaine avec zéro compte utilisateur créé uniquement dans le but d'orchestrer l'arnaque. Les comptes de messagerie ont été utilisés pour envoyer des e-mails de phishing contenant des liens qui redirigent les pages de destination des logiciels malveillants vers des e-mails professionnels d'auteurs YouTube. TAG a aidé à bloquer environ XNUMX million de messages et a même réussi à restaurer l'accès à environ XNUMX XNUMX comptes. "Avec d'autres sacrifices de détection, nous avons vu des attaquants passer de Gmail à d'autres fournisseurs de messagerie (notamment email.cz, seznam.cz, article.cz et aol.com)", conclut Shen, laissant entendre que la campagne n'a changé que le e-mail. revendeurs et peut être encore actif.