Google descubre la campaña de suplantación de identidad dirigida a los creadores de YouTube con software malicioso de robo de cookies

Se ha descubierto una nueva campaña de phishing dirigida a los creadores de YouTube con malware para robar cookies, según Google.

A finales de 2019, Google dice que ha detenido las campañas de phishing motivadas financieramente que se dirigen a YouTubers con malware que roba cookies. Los actores detrás de esta campaña, que atribuye a un grupo de piratas informáticos reclutados en un foro de habla rusa, atraen a su objetivo con oportunidades de colaboración falsas (generalmente una demostración de software antivirus, VPN, reproductores de música, edición de fotos o juegos en línea), secuestran su canal y luego véndalo al mejor postor o úselo para transmitir estafas de criptomonedas.

En colaboración con los equipos de YouTube, Gmail, Trust & Safety y Safe Browsing, las protecciones de Google han reducido el volumen de correos electrónicos relacionados con phishing en Gmail en un 99,6% desde mayo de 2021. Bloqueó 1,6 millones de mensajes a los objetivos, mostrando aproximadamente 62.000 Safe Browsing advertencias de página de phishing, archivos bloqueados de 2.4K y cuentas de ~ 4K restauradas con éxito. A medida que aumentaron los esfuerzos de detección, Google afirma que ha visto a los atacantes cambiar de Gmail a otros proveedores de correo electrónico.

El robo de cookies, también conocido como «ataque de pasar la cookie», es una técnica de secuestro de sesión que permite el acceso a cuentas de usuario con cookies de sesión almacenadas en el navegador. Si bien la técnica ha existido durante décadas, su resurgimiento como un riesgo de seguridad máximo puede deberse a la adopción más amplia de la autenticación multifactor (MFA), lo que dificulta impulsar el abuso y cambiar el enfoque del atacante hacia tácticas de ingeniería social.

Muchos creadores de YouTube proporcionan una dirección de correo electrónico en sus canales para oportunidades comerciales. En este caso, los atacantes enviaron correos electrónicos comerciales falsos pretendiendo ser una empresa existente, solicitando una colaboración de anuncios de video.

El phishing generalmente comienza con un correo electrónico personalizado que presenta a la empresa y sus productos. Después de que el objetivo aceptó el trato, se envió una página de destino de malware disfrazada de URL de descarga de software por correo electrónico o PDF a Google Drive y, en algunos casos, documentos de Google que contienen enlaces de phishing. Se han identificado alrededor de 15.000 cuentas de partes interesadas, la mayoría de las cuales se han creado específicamente para esta campaña.

Los atacantes han registrado varios dominios asociados con empresas falsificadas y han creado varios sitios de distribución de malware. Hasta la fecha, Google ha identificado al menos 1.011 dominios creados exclusivamente para este propósito. Algunos de los sitios representaban sitios de software legítimos como Luminar, Cisco VPN, juegos en Steam y algunos se generaron utilizando plantillas en línea. Durante la pandemia, Google también descubrió atacantes que se hacían pasar por proveedores de noticias con el «software de noticias Covid19».

«Estamos mejorando continuamente nuestros métodos de detección e invirtiendo en nuevas herramientas y características que identifican y detienen automáticamente amenazas como esta», dijo Ashley Shen, grupo de análisis de amenazas.

Algunas de estas mejoras incluyen:

• Reglas heurísticas adicionales para detectar y bloquear correos electrónicos de phishing e ingeniería social, robo de cookies y transmisión en vivo de estafas criptográficas.
• Navegación segura detecta y bloquea más descargas de malware y páginas de destino.
• YouTube ha fortalecido los flujos de trabajo de transferencia de canales, ha detectado y recuperado automáticamente más del 99% de los canales secuestrados.
• La seguridad de la cuenta ha reforzado los flujos de trabajo de autenticación para bloquear y notificar al usuario de posibles acciones sensibles.