Cuentas de YouTubers, secuestradas con un malware que roba cookies

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Google afirma que los creadores de YouTube han sido atacados con malware de robo de contraseñas en ataques de phishing coordinados por actores de amenazas, con motivación financiera.

Los investigadores del Grupo de Análisis de Amenazas (TAG) de Google, que detectaron por primera vez la campaña a finales de 2019, descubrieron que detrás de estos ataques se encontraban múltiples actores de hacking por encargo reclutados a través de anuncios de trabajo en foros de habla rusa.

Los actores de la amenaza utilizaron la ingeniería social (a través de páginas de aterrizaje de software falsas y cuentas de redes sociales) y correos electrónicos de phishing para infectar a los creadores de YouTube con malware de robo de información, elegido en función de las preferencias de cada atacante.

El malware observado en los ataques incluye cepas de productos básicos como RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad y Kantal, y otras de código abierto como Sorano y AdamantiumThief.

Una vez introducido en los sistemas de los objetivos, el malware se utilizaba para robar sus credenciales y las cookies del navegador, lo que permitía a los atacantes secuestrar las cuentas de las víctimas en ataques de tipo pass-the-cookie.

Google identificó al menos 1.011 dominios vinculados a estos ataques y unas 15.000 cuentas de actores creadas específicamente para esta campaña y utilizadas para enviar correos electrónicos de phishing que contenían enlaces que redirigían a páginas de aterrizaje de malware a los correos electrónicos comerciales de los creadores de YouTube.

Un número significativo de canales de YouTube secuestrados en estos ataques, fueron posteriormente rebautizados para hacerse pasar por ejecutivos de tecnología de alto perfil o empresas de intercambio de criptomonedas y utilizados para estafas de criptomonedas en vivo.

Otros se vendieron en mercados clandestinos de intercambio de cuentas, donde valen entre 3 y 4.000 dólares, dependiendo de su número total de suscriptores.

Google también ha informado de esta actividad maliciosa al FBI para que siga investigando y proteja a los usuarios y creadores de YouTube a los que se dirige la campaña.

Info – Ciberseguridad Latam