Хакеры взламывали YouTube-каналы для введения криптомошеннических трансляций

Начиная с 2019 тысячи пользователей YouTube потеряли доступ к своим каналам в результате серии фишинговых атак. Об этом сообщил представитель группы анализа угроз Google (TAG).

Злоумышленники связывались с жертвой через почту для сотрудничества. Человеку приходило письмо с выгодным предложением о рекламном сотрудничестве. После того как жертва соглашалась прорекламировать услугу или продукт, ей отправляли заражённую ссылку на скачивание или PDF-документ. Как только человек кликал на неё, на ПК загружалось вредоносное ПО для кражи cookie.

Обычно, cookie представляет собой текстовый файл с данными об аутентификации (логин/пароль, ID, номер телефона, адрес почтового ящика), пользовательскими настройками и статусом доступа. Получив доступ к cookie, хакеры узнавали все пароли и могли легко войти в YouTube-аккаунт жертвы.

С начала мая 2021 сотрудники Google заблокировали около 1,6 млн подобных писем, обнаружили 2,5 тысячи вредоносных программ и разблокировали около 4 тысячи YouTube-аккаунтов

Большинство взломанных каналов использовали для криптовалютного мошенничества. Профиль переделывался таким образом, чтобы имитировать крупную технологическую или криптовалютную фирму. Для этого менялись название, аватарка и на канале публиковался контент от имени фейковой организации. Далее злоумышленники запускали трансляцию, где обещали раздачу криптовалюты в обмен на первоначальный вклад.

Часть каналов продавали. В зависимости от количества подписчиков, хакеры могли заработать от $3 до $4 000.

Для имитации официального сайта компании и распространения вредоносного ПО злоумышленники регистрировали домены имитирующие адреса реальных фирм. На сегодня сотрудники Google нашли уже больше тысячи таких доменов.