Google mengatakan bahawa akaun pencipta kandungan di YouTube telah disasarkan oleh sejenis malware yang mencuri kata laluan. Serangan ini dijalankan oleh beberapa pelaku ancaman yang bermotivasikan kewangan.
Penyelidik Kumpulan Analisis Ancaman Google (TAG), yang pertama kali melihat kempen ini pada akhir 2019, mendapati bahawa beberapa penggodam yang telah direkrut melalui iklan pekerjaan di sebuah forum berbahasa Rusia berada di belakang serangan ini.
Pelaku ancaman itu menggunakan kejuruteraan sosial (melalui halaman arahan perisian palsu dan akaun media sosial) dan e-mel phishing untuk menjangkiti pencipta kandungan di YouTube dengan perisian hasad pencuri maklumat.
Perisian hasad yang diperhatikan dalam serangan itu merangkumi rantaian komoditi seperti RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad, dan Kantal, serta sumber terbuka seperti AdamantiumThief dan alat penggodaman yang telah bocor seperti Sorano.
Setelah dihantar pada sistem sasaran, malware itu digunakan untuk mencuri bukti kelayakan dan kuki pelayar web mereka yang membolehkan penyerang merampas akaun mangsa dalam serangan pass-the-cookie.
Google mengenal pasti sekurang-kurangnya 1011 domain yang dikaitkan dengan serangan dan kira-kira 15,000 akaun palsu dibuat khusus untuk kempen ini dan digunakan untuk menghantar e-mel pancingan data (phishing).
Sebahagian besar saluran YouTube yang dirampas dalam serangan ini kemudiannya dijenamakan semula untuk menyamar sebagai eksekutif teknologi berprofil tinggi atau firma pertukaran mata wang crypto dan digunakan untuk aktiviti penipuan penstriman langsung mata wang crypto.
Manakala akaun yang lain dijual di pasaran perdagangan akaun ‘bawah tanah’, di mana harganya berjumlah antara $3 hingga $4,000, bergantung pada jumlah pelanggan akaun tersebut.
Google juga melaporkan kegiatan jahat ini kepada pihak FBI untuk tujuan penyelidikan lebih lanjut bagi melindungi pengguna dan pencipta YouTube yang disasarkan dalam kempen tersebut.
Sumber: Phishing campaign targets YouTube creators with cookie theft malware.