Google met fin à une campagne malveillante visant les youtubeurs de crypto-monnaies

Facebook
Twitter
WhatsApp
Telegram

Google a révélé les détails d’une nouvelle campagne impliquant des attaques de phishing lancées contre des propriétaires de chaînes YouTube dans le seul but de détourner leurs chaînes. Selon le rapport, les acteurs de la menace utilisent un malware de vol de cookies dans les attaques pour prendre le contrôle de l’appareil/ordinateur et pirater les comptes YouTube.

Les chercheurs ont révélé que les attaquants à l’origine de ce schéma de détournement de chaîne sont motivés par des raisons financières, car ils vendent aux enchères les chaînes volées si elles ont un grand nombre d’adeptes ou font la promotion d’arnaques aux crypto-monnaies en abusant de ces comptes.

Les attaques se poursuivent depuis 2019, et les attaquants avaient l’habitude d’attirer les cibles par le biais de faux schémas de collaboration tels que des demandes d’achat de publicités sur la chaîne de l’utilisateur ciblé, d’édition de photos, de jeux en ligne ou de lecteurs de musique, de VPN et de démo pour des logiciels antivirus, etc.

Après avoir gagné la confiance du propriétaire de la chaîne, les escrocs envoyaient à la victime une URL par e-mail ou un PDF Google Drive dans lequel ils promettaient un logiciel légitime, mais en réalité, ils la redirigeaient vers une page de destination de logiciels malveillants.

Lorsque le logiciel malveillant était installé sur l’ordinateur, il volait les cookies du navigateur à l’aide d’une technique de « smash-and-grab », et les cookies étaient utilisés pour détourner la session et finalement détourner le canal. Les escrocs cherchaient ensuite à le vendre au plus offrant avec un prix demandé de 3 000 à 4 000 dollars ou à lancer des escroqueries aux crypto-monnaies en l’utilisant.

Il a été observé que les escrocs envoyaient des messages de phishing aux identifiants de messagerie rendus publics par les propriétaires de chaînes YouTube à des fins professionnelles.

Les logiciels malveillants utilisés dans l’escroquerie comprennent Azorult (également utilisé dans les récentes escroqueries liées au COVID-19), Raccoon, Vidar, Grand Stealer, Kantal, Nexus stealer, Masad, The Thief, Predator, Vikro Stealer et RedLine, ainsi que des outils open-source comme AdamantiumThief et Sorano.

Comment la campagne a-t-elle été démantelée ?

L’équipe TAG de Google a collaboré avec les équipes de Gmail, YouTube, Trust&Safety, CyberCrime Investigation Group et Safe Browsing pour réduire le taux de distribution des e-mails de phishing sur Gmail. Leur collaboration a permis de réduire le volume de la campagne de phishing de 99,6 % depuis mai 2021 et de bloquer 1,6 million de messages destinés à des cibles probables.

En outre, environ 62k avertissements de pages de phishing Safe Browsing et 2,4k fichiers ont été bloqués, et près de 4 000 comptes ont été restaurés avec succès. Après avoir senti que les attaquants redoublaient d’efforts de détection, ils se sont tournés vers d’autres fournisseurs de messagerie tels que Seznam.cz, email.cz, Aol.com et post.cz.

Il a également été noté que les attaquants avaient enregistré près de 15 000 comptes et avaient des domaines associés à de fausses entreprises, tandis que plus de 1 000 sites Web ont été utilisés pour distribuer des logiciels malveillants. Afin d’empêcher toute nouvelle diffusion d’e-mails de phishing, Google a également informé le FBI.

Facebook
Twitter
WhatsApp
Telegram