Мно­гие юту­беры ста­ли жер­тва­ми хорошо ско­орди­ниро­ван­ных фишин­говых атак, где глав­ной целью прес­тупни­ков был угон чужих YouTube-каналов и финан­совая выгода. Про­исхо­дило это два года назад, но в Google пре­дали инци­дент огласке толь­ко сей­час. Давай прой­дем­ся по изло­жен­ным в отче­те ком­пании фак­там и раз­берем­ся, что имен­но про­исхо­дило.

Спе­циалис­ты Google Threat Analysis Group (TAG) рас­ска­зали, что два года назад мно­жес­тво юту­беров ста­ли жер­тва­ми хорошо ско­орди­ниро­ван­ных фишин­говых атак, где глав­ной целью прес­тупни­ков был угон чужих YouTube-каналов и финан­совая выгода. Отчет ком­пании гла­сит, что за эти­ми ата­ками сто­яло нес­коль­ко лиц, которых орга­низа­торы схе­мы нанима­ли через объ­явле­ния о вакан­сиях на рус­ско­языч­ных хак‑форумах.

Ис­сле­дова­тели Google TAG пишут, что им уда­лось отсле­дить форумы, где хак‑груп­па, сто­ящая за ата­ками, вер­бовала пар­тне­ров для про­веде­ния фишин­говых атак и атак с исполь­зовани­ем соци­аль­ной инже­нерии. Сог­ласно серии таких рек­ламных объ­явле­ний, пар­тне­рам груп­пиров­ки пред­лагалось получить 25% или 75% от доходов с укра­ден­ного акка­унта, в зависи­мос­ти от уров­ня их учас­тия и слож­ности фишин­га. Акка­унты обыч­но выс­тавля­лись на про­дажу по цене от 20 до 10 000 дол­ларов США.

 

Отчет Google

Эк­спер­ты обра­тили вни­мание на про­исхо­дящее еще в 2019 году, ког­да на форумах под­дер­жки Google ста­ли появ­лять­ся мас­совые жалобы на взлом акка­унтов YouTube: 1, 2, 3, 4, 5. При­чем от взло­мов стра­дали даже те акка­унты, вла­дель­цы которых поль­зовались двух­фактор­ной аутен­тифика­цией.

Как сооб­щает­ся теперь, зло­умыш­ленни­ки активно исполь­зовали в сво­их ата­ках фишин­говые пись­ма, а так­же соци­аль­ную инже­нерию — спе­циаль­ные стра­ницы фей­кового ПО и учет­ные записи в соци­аль­ных сетях. Целью хакеров было зараже­ние машин юту­беров мал­варью для кра­жи информа­ции, которая выбира­лась в зависи­мос­ти от пред­почте­ний каж­дого отдель­ного зло­умыш­ленни­ка. Иссле­дова­тели говорят, что в этих ата­ках были задей­ство­ваны такие вре­донос­ные прог­раммы, как RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad и Kantal, а так­же опен­сор­сные решения (AdamantiumThief) и мал­варь, чей исходный код ранее утек в сеть (Sorano).

Ког­да тот или иной вре­донос про­никал на машину жер­твы, он исполь­зовал­ся для кра­жи учет­ных дан­ных и фай­лов cookie бра­узе­ра, что в ито­ге поз­воляло зло­умыш­ленни­кам зах­ватывать учет­ные записи, про­водя ата­ки типа pass-the-cookie.

«Хотя этот метод атак известен уже нес­коль­ко десяти­летий, его воз­рожде­ние в качес­тве глав­ной угро­зы безопас­ности мог­ло быть свя­зано с более широким внед­рени­ем мно­гофак­торной аутен­тифика­ции, зат­рудня­ющей подоб­ные зло­упот­ребле­ния, а так­же со сме­щени­ем вни­мания зло­умыш­ленни­ков к исполь­зованию соци­аль­ной инже­нерии.

Боль­шая часть наб­люда­емых нами вре­донос­ных прог­рамм была спо­соб­на похищать как пароли поль­зовате­лей, так и фай­лы cookie. В некото­рых образцах [мал­вари] исполь­зовалось нес­коль­ко методов борь­бы с песоч­ницами, вклю­чая раз­дувание фай­лов и зашиф­рован­ные архи­вы», — пишут ана­лити­ки TAG.

Как пра­вило, заг­рузить мал­варь юту­беров вынуж­дали в нес­коль­ко эта­пов, начиная обще­ние с пред­ложения о сот­рудни­чес­тве или кол­лабора­ции. К при­меру, мошен­ники свя­зыва­лись с жер­тва­ми и про­сили их уста­новить и про­тес­тировать раз­личные при­ложе­ния, а затем опуб­ликовать на них отзыв или обзор. При­ложе­ния, обыч­но исполь­зуемые в этих схе­мах, вклю­чали анти­вирус­ное ПО, кли­енты VPN, музыкаль­ные пле­еры, фоторе­дак­торы, опти­миза­торы ПК или онлайн‑игры. Внут­ри таких при­ложе­ний, конеч­но, скры­валась мал­варь.

Пример письма-приманки
При­мер пись­ма‑при­ман­ки

В отче­те отме­чает­ся, что Google активно обна­ружи­вал и бло­киро­вал фишин­говые ссыл­ки хакеров, отправ­ляемые через Gmail, поэто­му зло­умыш­ленни­ки приг­лашали жертв про­дол­жить обще­ние в при­ложе­ниях для обме­на сооб­щени­ями, таких как WhatsApp, Telegram или Discord.

Пос­ле того как цель сог­лашалась на сдел­ку, ей давали ссыл­ку на стра­ницу с мал­варью, замас­кирован­ную под URL-адрес для заг­рузки ПО. Ссыл­ка отправ­лялась в пись­ме, в фор­мате PDF на Google Drive, а в некото­рых слу­чаях исполь­зовались докумен­ты Google Docs, содер­жащие фишин­говые ссыл­ки.

«Некото­рые из таких веб‑сай­тов выдава­ли себя за сай­ты с закон­ным прог­рам­мным обес­печени­ем, вклю­чая Luminar, Cisco VPN, игры в Steam, а некото­рые были соз­даны с исполь­зовани­ем онлайн‑шаб­лонов», — отме­чают ана­лити­ки TAG.

Во вре­мя рас­сле­дова­ния экспер­ты Google выяви­ли поряд­ка 1011 доменов, свя­зан­ных с эти­ми ата­ками, и при­мер­но 15 000 учет­ных записей, которые хакеры спе­циаль­но соз­дали для дан­ной кам­пании. Такие акка­унты исполь­зовались для отправ­ки фишин­говых писем, содер­жащих вре­донос­ные ссыл­ки.

«В сот­рудни­чес­тве с YouTube, Gmail, Trust & Safety, CyberCrime Investigation Group и Safe Browsing мы смог­ли сни­зить количес­тво фишин­говых писем в Gmail на 99,6% с мая 2021 года. Так­же мы заб­локиро­вали 1,6 мил­лиона сооб­щений, адре­сован­ных жер­твам, отоб­разили око­ло 62 000 пре­дуп­режде­ний Safe Browsing о прос­мотре фишин­говых стра­ниц, заб­локиро­вали 2400 фай­лов и в 4000 слу­чаев успешно вос­ста­нови­ли учет­ные записи пос­тра­дав­ших.

Мы замети­ли, что бла­года­ря нашим уси­лиям по обна­руже­нию [атак] зло­умыш­ленни­ки ста­ли перехо­дить с Gmail на дру­гие сер­висы элек­трон­ной поч­ты (в основном на email.cz, seznam.cz, post.cz и aol.com). Более того, что­бы защитить наших поль­зовате­лей, мы переда­ли соб­ранную информа­цию в ФБР для даль­нейше­го рас­сле­дова­ния», — отчи­тались спе­циалис­ты Google.

 

Расследование The Record

Из­дание The Record сооб­щает, что наб­людало за раз­вити­ем этой ситу­ации и вре­донос­ной кам­пани­ей с самого 2019 года. Так, жур­налист изда­ния Каталин Чим­пану (Catalin Cimpanu) сра­зу заподоз­рил, что при­веден­ный ниже твит, где рас­ска­зыва­ется о челове­ке, который потерял свой канал на YouTube, свя­зав­шись с потен­циаль­ным спон­сором (анти­вирус­ной ком­пани­ей), был далеко не еди­нич­ным слу­чаем.

Чим­пану рас­ска­зыва­ет, что ском­про­мети­рован­ные опи­сан­ным спо­собом акка­унты и YouTube-каналы хакеры, как пра­вило, выс­тавля­ли на про­дажу. К при­меру, еще пару лет назад он отсле­дил укра­ден­ную учет­ную запись MarcoStyle, гей­мера из США, которая была угна­на и вско­ре появи­лась в про­даже на рус­ско­языч­ном сай­те Trade Groups.

Ос­нован­ный в 2014 году, этот сайт заяв­ляет, что пред­став­ляет собой прос­той мар­кет­плейс, подоб­но Amazon, где любой жела­ющий может зарегис­три­ровать­ся, а затем выс­тавить на про­дажу свои груп­пы и учет­ные записи в соци­аль­ных сетях. Хотя ресурс очень ста­рает­ся выг­лядеть легаль­ным, помимо укра­ден­ного акка­унта MarcoStyle, жур­налист обна­ружил нес­коль­ко поль­зовате­лей, которые ежед­невно выс­тавля­ли на про­дажу сот­ни учет­ных записей, явно не явля­ясь закон­ными вла­дель­цами этих про­филей. Сто­ит отме­тить, что Trade Groups работа­ет до сих пор и по‑преж­нему пред­лага­ет такой же кон­тент.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии