Google confirma el secuestro de cuentas de Youtube mediante un malware que se dedica a robar las cookies por medio de ingeniería social.
Cada vez es más frecuente ver cómo los ciberdelincuentes se apropian de cosas tan triviales como las cuentas de Youtube. Bueno, triviales salvo que seamos un streamer famoso y capaz de generar varios miles de euros/dólares al mes… Basta con ver el Caso Twitch para entender de qué estamos hablando. La popular plataforma de contenido audiovisual, propiedad de Amazon, no es la única que está entre los objetivos de los cibercriminales; YouTube es otra de las gallinas preferidas. De hecho, el equipo de investigadores del Grupo de Análisis de Amenazas de Google ha detectado actividad maliciosa de forma reciente. Según han informado, creadores de contenido de YouTube han sido atacados con malware con el fin de robar sus contraseñas y acto seguido pedir un rescate para devolver las credenciales robadas. Para ello, han usado ataques de phishing coordinados. Google confirma el secuestro de cuentas de Youtube.
La campaña de phishing detectada por el TAG dio comienzo a finales de 2019, momento en el cual descubrieron que los ciberatacantes fueron reclutados por encargo. El lugar seleccionado para ello fueron unos foros de habla rusa. Para lograr el robo de credenciales, los ciberatacantes hicieron uso de ingeniería social, es decir, por medio de páginas de software falsas y cuentas en redes sociales. También hicieron uso de emails de phishing para infectar con malware a los creadores de contenido. La campaña es bastante compleja, pues se hizo en función de las preferencias de cada atacante. Usaron varios tipos de malware, entre ellos: RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad y Kantal. Además, usaron otros de código abierto como Sorano y AdamantiumThief. Tras obtener acceso, robaron las credenciales y cookies del navegador mediante ataques pass-the-cookie.
Más de 1000 dominios vinculados y 15000 cuentas creadas para el robo
Como hemos mencionado antes, se trata de una campaña muy compleja. Google, durante su investigación, identificó nada menos que 1.011 dominios vinculados a estos ataques; también 15.000 cuentas de ciberatacantes creadas exclusivamente para esta campaña. Todas ellas se han usado para el envío de phishing mediante e-mail, los cuales contenían enlaces vinculados a páginas con malware. Por desgracia, muchos creadores de contenido cayeron en la trampa y vieron cómo sus canales fueron robados. Tras esto, sus canales fueron reconvertidos para hacerse pasar por ejecutivos de empresas tecnológicas de alto perfil. También se han visto empresas que, supuestamente, se dedican al intercambio de criptomonedas y usados para ciberestafas en su lugar. Otras se vendieron en el mercado negro por un valor de entre 3000/4000 dólares. El FBI ha sido informado al respecto para que investiguen la situación y proteja a los usuarios.