Il team di sicurezza di Google ha scoperto numerosi attacchi di phishing contro gli youtuber. I cybercriminali (che secondo l’azienda di Mountain View risiedono in Russia) utilizzano tecniche di social engineering per ingannare le vittime, promettendo guadagni attraverso inserzioni pubblicitarie. In realtà l’obiettivo è installare il malware Cookie Theft e prendere il controllo del canale YouTube.
Cookie Theft: malware per YouTube
Cookie Theft, noto anche come “pass-the-cookie attack”, viene sfruttato per accedere all’account dell’utente utilizzando i cookie di sessione memorizzati nel browser. L’attacco inizia quando i cybercriminali inviano agli youtuber email di presunte richieste di collaborazione. Viene ad esempio proposto di pubblicizzare un software (antivirus, editing fotografico, VPN e altri) sul canale YouTube. Se lo youtuber accetta, i cybercriminali inviano via email il link ad una pagina web fasulla (spesso simile a quella originale), da cui scaricare il software.
Google ha rilevato e bloccato oltre 1,6 milioni di email inviate ad account Gmail, circa 62.000 pagine di phishing e circa 2.400 file infetti. I cybercriminali hanno però iniziato ad utilizzare provider email differenti oppure servizi di messaggistica noti, come WhatsApp e Telegram.
Quando lo youtuber esegue il file del presunto software, viene avviato un malware “cookie stealing” che legge i cookie di sessione e li invia ad un server remoto. Google ha rilevato diversi malware con funzionalità simili (RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad, Kantal, Sorano e AdamantiumThief), ovvero l’accesso ai cookie di sessione e il furto delle password.
Dopo aver preso possesso dei canali YouTube, i cybercriminali cambiano nome, immagine del profilo e contenuti per eseguire truffe con criptovalute. In alcuni casi i canali vengono venduti nel dark web a cifre comprese tra 3 e 4.000 dollari. Google ha ripristinato circa 4.000 account.
Ti potrebbe interessare
22 ott 2021