La campagne d’hameçonnage cible les créateurs YouTube avec des logiciels malveillants de vol de cookies pour pirater des comptes et diffuser des escroqueries par crypto-monnaie
Google Threat Analysis Group (TAG) a découvert une légère augmentation des escroqueries par hameçonnage ciblant les créateurs YouTube pour voler leurs chaînes.
La campagne exécutée par des hameçonneurs affiliés incite les créateurs de contenu YouTube à télécharger des logiciels malveillants qui volent les cookies et s’emparent des chaînes.
Ils utilisent ensuite à mauvais escient les chaînes YouTube pour promouvoir les arnaques aux crypto-monnaies ou les vendre jusqu’à 4 000 $.
Bien que ces campagnes existent depuis 2019, le géant des moteurs de recherche a noté qu’elles s’étaient récemment intensifiées.
Une campagne d’hameçonnage promet aux créateurs YouTube des revenus grâce aux promotions
Selon l’article de blog de Google, le groupe de pirates ciblant les YouTubers a été recruté par un forum russophone.
Ils sont classés en « publicité légère » et « publicité complète », gagnant respectivement 25 % et 70 % des chaînes YouTube piratées. Google a identifié au moins 15 000 comptes spécialement créés pour les créateurs d’hameçonnage YouTube.
De nombreux créateurs YouTube fournissent un e-mail aux entreprises sur leurs chaînes. Les pirates se sont lancés dans la campagne de phishing en envoyant des e-mails usurpés se faisant passer pour des entreprises existantes.
Ils ont commencé à envoyer des e-mails présentant leur entreprise et leurs produits avant de demander une collaboration sur la publicité vidéo.
Peu de temps après, ils ont promis aux créateurs YouTube de fausses opportunités de collaboration pour promouvoir des logiciels antivirus, des éditeurs de photos, des logiciels VPN, des lecteurs de musique ou des jeux en ligne.
Certains ont également exploité la pandémie et se sont présentés comme des applications d’actualités COVID-19. Certains des produits usurpés incluent Luminar, Cisco VPN et les jeux Steam.
« Les attaques de phishing sont l’une des formes les plus courantes de cyberattaques exploitées par les cybercriminels », a déclaré Josh Rickard, architecte de solutions de sécurité chez Swimlane. « Il est devenu trop facile pour des acteurs malveillants de créer des campagnes par e-mail apparemment légitimes pour inciter des employés bien intentionnés à fournir un accès à l’attaquant – et elles sont très efficaces, avec 74% des attaques aux États-Unis avec succès. »
Des comptes YouTube détournés ont été renommés pour diffuser des escroqueries à la crypto-monnaie
Selon le nombre d’abonnés et le statut de la chaîne, les comptes ont été vendus entre 3 $ et 4 000 $. Les pirates ont rebaptisé les chaînes piratées pour diffuser en direct des escroqueries de crypto-monnaie.
« Le nom de la chaîne, la photo de profil et le contenu ont tous été remplacés par une marque de crypto-monnaie pour se faire passer pour de grandes sociétés d’échange de technologie ou de crypto-monnaie », a écrit Google. « L’attaquant a diffusé en direct des vidéos promettant des cadeaux de crypto-monnaie en échange d’une contribution initiale. »
Des exploits similaires sont apparus ailleurs sur Internet. En août 2020, des pirates ont détourné des comptes Twitter établis et les ont renommés en « Elon Musk » ou « Space X » et ont commencé à offrir de faux cadeaux de crypto-monnaie.
Les canaux vérifiés sont préférés en raison de la confiance qu’ils inspirent. Il est beaucoup plus facile pour les gens d’acheter des escroqueries de crypto-monnaie lorsqu’ils sont approuvés par leurs canaux populaires ou des individus.
« Ces comptes de médias sociaux et d’influenceurs peuvent être très précieux pour les cybercriminels, car ils peuvent être utilisés pour abuser de la confiance dont les abonnés ont besoin pour améliorer l’efficacité des escroqueries ou pour diffuser des logiciels malveillants », a déclaré Erich Kron, défenseur de la sensibilisation à la sécurité chez KnowBe4. « Lorsqu’une personne reçoit un e-mail ou une autre notification d’un créateur de contenu de confiance, il est beaucoup plus facile de la convaincre de cliquer sur des liens, de faire des achats frauduleux ou de donner des informations sensibles sur elle-même.
« Cela est particulièrement vrai lorsque les comptes de médias sociaux ou de créateurs de contenu ont un statut vérifié ou similaire à partir de la plate-forme. »
Les pirates déploient des logiciels malveillants voleurs de cookies pour s’emparer des comptes YouTube
Lorsqu’ils attirent l’attention des créateurs de YouTube, ils envoient une page de destination malveillante déguisée en URL de téléchargement de logiciel. Parfois, ils envoient également des liens de phishing via Google Drive ou Google Docs.
De plus, ils ont enregistré des domaines d’hameçonnage reflétant les sociétés usurpées et créé des sites Web de diffusion de logiciels malveillants. Certains des sites Web sont créés à l’aide de modèles Web et de créateurs de sites Web.
Les pirates ont également créé de fausses pages de médias sociaux et copié du contenu à partir de comptes légitimes. Google indique qu’au moins 1 011 domaines ont été enregistrés pour les créateurs d’hameçonnage YouTube. Cependant, les domaines usurpés conduisent à des pages de téléchargement de logiciels malveillants. Ils ont convaincu les victimes d’installer le logiciel malveillant qui vole les cookies ou même les mots de passe du navigateur de la victime et les envoie au serveur de commande et de contrôle de l’acteur de la menace.
Le logiciel malveillant a utilisé diverses méthodes de dissimulation pour éviter la détection, telles que la dissimulation d’adresses IP, le cryptage de fichiers, l’agrandissement de fichiers et l’affichage de faux messages d’erreur pour inciter les victimes à cliquer pour continuer l’exécution. Ils ont également évité d’exécuter le malware de manière persistante et ont eu recours à des techniques de « smash and grab » pour éviter la détection par les antivirus. Les logiciels malveillants les plus couramment déployés incluent RedLine, Azorult, Vidar, Predator The Thief, Nexus Stealer, Raccoon, AdamantiumThief, Grand Stealer, Vikro Stealer, Masad, Sorano et Kantal.
Les pirates ont également utilisé l’attaque « passer le cookie » pour compromettre les comptes YouTube et prendre le contrôle. Google dit que bien que la méthode existe depuis des décennies, elle a récemment explosé en raison de l’adoption de l’authentification multifacteur (MFA).
Google introduit des mesures de sécurité pour empêcher le vol de compte YouTube
Google affirme avoir détecté et récupéré automatiquement 99% des chaînes YouTube transférées illégalement à leurs propriétaires légitimes.
Il a également introduit des règles heuristiques supplémentaires sur sa plate-forme pour identifier et bloquer les e-mails de phishing et d’ingénierie sociale, empêcher le vol de cookies YouTube et arrêter les flux en direct de crypto-escroquerie sur les comptes piratés.
Depuis mai 2021, Google a détecté 99,6 % des e-mails de phishing de Gmail, bloquant 1,6 million de messages et 2 400 pièces jointes malveillantes.
En raison des efforts de répression de Google sur Gmail, les attaquants ont migré vers des applications tierces telles que WhatsApp, Telegram ou Discord. Les chercheurs de Google suggèrent également que la campagne de phishing migrerait vers des comptes autres que Gmail.
De plus, Google a amélioré la navigation sécurisée pour identifier et bloquer les pages de destination des logiciels malveillants utilisées par les pirates pour distribuer des logiciels malveillants voleurs de cookies. Google a également renforcé les processus de transfert de canal et les workflows d’authentification pour informer les propriétaires de compte des actions sensibles. Google exigera également une authentification à deux facteurs pour les comptes monétisés afin d’empêcher la prise de contrôle de compte à compter du 1er novembre 2021.
« Nous pouvons nous attendre à voir davantage de cette classe d’attaques », a déclaré Josh Yavor, RSSI chez Tessian. « Les organisations doivent être conscientes de la façon dont elles protègent non seulement l’authentification initiale – grâce à l’utilisation d’une authentification multifacteur et, idéalement, des options basées sur FIDO qui résistent au phishing – mais également les ordinateurs à partir desquels les employés accèdent aux applications. »