Google dit que des pirates russophones ont détourné des chaînes YouTube pour une arnaque à la crypto-monnaie
Google a annoncé mercredi avoir suivi et interrompu une campagne de phishing par e-mail liée à des pirates informatiques russophones qui cible les utilisateurs de YouTube depuis 2019 dans le cadre d’un effort d’escroquerie par crypto-monnaie.
Dans un article de blog publié mercredi, le groupe d’analyse des menaces (TAG) de Google a expliqué comment les pirates avaient utilisé des « logiciels malveillants de vol de cookies » pour compromettre les comptes YouTube afin de détourner les chaînes, de les vendre ou de les utiliser pour diffuser des escroqueries à la crypto-monnaie.
Les pirates, qui, selon Google, ont été recrutés sur un forum russophone de « hack-for-hire » ont utilisé des e-mails proposant de fausses opportunités de collaboration avec les chaînes YouTube pour envoyer des logiciels malveillants ou des liens d’e-mail de phishing aux utilisateurs.
Plus de 1 000 domaines – dont certains se faisant passer pour des sites d’actualités COVID-19 – ont été créés dans le but de cette arnaque et pour falsifier les pages de médias sociaux. Le logiciel malveillant utilisé dans l’opération était capable de voler les mots de passe des utilisateurs et de voler les cookies déjà utilisés par l’utilisateur de YouTube pour prendre le contrôle des comptes.
Une fois détournés, les comptes ont été soit vendus jusqu’à 4 000 $ en fonction du nombre d’abonnés, soit utilisés pour diffuser en direct des vidéos frauduleuses de crypto-monnaie, les chaînes étant renommées pour se faire passer pour une grande entreprise de technologie ou de crypto-monnaie.
Google, propriétaire de YouTube, a souligné que YouTube avait détecté et récupéré 99 % des chaînes piratées et qu’il prenait des mesures supplémentaires pour renforcer la sécurité contre ce type de campagne de piratage. Le FBI avait également été mis au courant des efforts de piratage.
« Nous améliorons continuellement nos méthodes de détection et investissons dans de nouveaux outils et fonctionnalités qui identifient et arrêtent automatiquement les menaces comme celle-ci », lit-on dans le blog.
Google a pris des mesures pour réduire les e-mails de phishing malveillants au cours des derniers mois, en bloquant 1,6 million d’e-mails depuis le seul mois de mai et en restaurant environ 4 000 comptes. Le blog a noté qu’en raison de la prise de conscience accrue des risques de cybersécurité et de la mise en œuvre de l’authentification multifacteur par les utilisateurs, les pirates se tournaient vers des méthodes telles que le détournement de cookies de navigateur pour exécuter des attaques.
Le nouvel avertissement de comptes piratés est arrivé une semaine après le TAG de Google signalé qu’un groupe de piratage iranien détournait des comptes pour effectuer de l’espionnage potentiellement pour le gouvernement iranien, et alors que les incidents de cybersécurité continuent d’augmenter cette année, y compris les attaques de ransomware contre les principales organisations américaines.