Google descubre una campaña de phishing dirigida a los creadores de YouTube con malware que roba cookies

Según Google, se descubrió una nueva campaña de phishing dirigida a los creadores de YouTube con malware que roba cookies.

Desde finales de 2019, Google afirma haber interrumpido las campañas de phishing con motivaciones financieras dirigidas a YouTubers con el malware Cookie Theft. Los actores detrás de esta campaña, que ella atribuye a un grupo de piratas informáticos reclutados en un foro de habla rusa, atraen a su objetivo con falsas oportunidades de colaboración (generalmente una demostración de software antivirus, VPN, reproductores de música, edición de fotos o juegos en línea). secuestrar su canal, luego venderlo al mejor postor o usarlo para difundir estafas de criptomonedas.

En colaboración con los equipos de YouTube, Gmail, Trust & Safety y Safe Browsing, las protecciones de Google han reducido el volumen de correos electrónicos de phishing asociados en Gmail en un 99,6% desde mayo de 2021. Ha bloqueado 1,6 millones de mensajes a los objetivos, mostrando aproximadamente 62,000 navegación segura. advertencias de la página de phishing. , bloqueó archivos de 2.4K y restauró con éxito cuentas ~ 4K. Con mayores esfuerzos de detección, Google dice que ha observado que los atacantes se alejan de Gmail y se dirigen a otros proveedores de correo electrónico.

El robo de cookies, también conocido como «ataque de pasar la cookie», es una técnica de secuestro de sesión que permite el acceso a cuentas de usuario con cookies de sesión almacenadas en el navegador. Aunque la técnica ha existido durante décadas, su resurgimiento como un riesgo de seguridad importante podría deberse a una adopción más amplia de la autenticación multifactor (MFA) que dificulta el abuso y cambia la atención de los atacantes a las tácticas: ingeniería social.

Muchos creadores de YouTube proporcionan una dirección de correo electrónico en su canal para oportunidades comerciales. En este caso, los atacantes enviaron correos electrónicos comerciales falsos haciéndose pasar por una empresa existente que solicita la colaboración de anuncios de video.

El phishing generalmente comenzaba con un correo electrónico personalizado en el que se presentaba a la empresa y sus productos. Una vez que el objetivo aceptó el trato, se envió por correo electrónico una página de destino maliciosa disfrazada de URL de descarga de software o como PDF a Google Drive y, en algunos casos, documentos de Google que contienen los enlaces de phishing. Se han identificado alrededor de 15.000 cuentas de actores, la mayoría de las cuales fueron creadas específicamente para esta campaña.

Los atacantes registraron varios dominios asociados con empresas falsas y crearon varios sitios web para distribuir malware. Hasta la fecha, Google ha identificado al menos 1.011 dominios creados solo para este propósito. Algunos de los sitios web se han hecho pasar por sitios de software legítimos, como Luminar, Cisco VPN, juegos en Steam, y algunos se generaron utilizando plantillas en línea. Durante la pandemia, Google también descubrió atacantes que se hacían pasar por proveedores de noticias con «software de noticias Covid19».

“Estamos mejorando continuamente nuestros métodos de detección e invirtiendo en nuevas herramientas y características que identifican y detienen automáticamente amenazas como esta”, dijo Ashley Shen del grupo de Análisis de Amenazas.

Algunas de estas mejoras incluyen:

• Reglas heurísticas adicionales para detectar y bloquear correos electrónicos de phishing e ingeniería social, piratería de cookies y transmisiones en vivo de criptoestafas.
• Safe Browsing detecta y bloquea aún más las páginas de destino y las descargas de malware.
• YouTube ha fortalecido los flujos de trabajo de transferencia de canales, detectando y recuperando automáticamente más del 99% de los canales pirateados.
• La seguridad de la cuenta ha fortalecido los flujos de trabajo de autenticación para bloquear y notificar al usuario sobre posibles acciones confidenciales.