谷歌威脅分析小組網(wǎng)絡(luò)安全人員發(fā)現(xiàn)，一種Cookie盜竊惡意軟件被用于對YouTube創(chuàng)作者的網(wǎng)絡(luò)釣魚攻擊。

[[430432]]

”釣魚事件“起始于2019 年末，網(wǎng)絡(luò)攻擊這為了獲取經(jīng)濟(jì)利益，使用Cookie Theft惡意軟件對YouTube創(chuàng)作者進(jìn)行網(wǎng)絡(luò)釣魚攻擊。根據(jù)谷歌威脅分析小組 (TAG) 安全人員研究發(fā)現(xiàn)，這些攻擊者通過俄語論壇上發(fā)布的黑客招募信息聚集在一起，以下是用于招募黑客的職位描述。

散布“合作機(jī)會”

黑客盜取YouTube創(chuàng)作者賬戶的方式很由欺詐性，黑客首先發(fā)布虛假合作機(jī)會，利用虛假的合作機(jī)會(即殺毒軟件、虛擬專用網(wǎng)、音樂播放器、照片編輯或網(wǎng)絡(luò)游戲的推廣)，YouTube創(chuàng)作者運(yùn)行假冒軟件后，會觸發(fā)執(zhí)行cookie竊取惡意軟件。

惡意軟件從受感染的機(jī)器竊取瀏覽器 cookie 并將其發(fā)送到 C2 服務(wù)器，成功竊取YouTube創(chuàng)作者的頻道。

一旦劫持了頻道，黑客會根據(jù)訂閱者的數(shù)量，將劫持的頻道從3美元到4000美元不等價(jià)格出售，另外，攻擊者會開展競價(jià)行為，將其出售給出價(jià)最高的人。

釣魚模式

攻擊者將惡意軟件登陸頁面?zhèn)窝b成軟件下載的URL，通過電子郵件或Google Drive上的PDF或包含網(wǎng)絡(luò)釣魚鏈接的Google文檔發(fā)送，惡意軟件一旦在目標(biāo)系統(tǒng)上運(yùn)行就會竊取創(chuàng)作者的憑據(jù)和瀏覽器cookie，從而允許攻擊者在傳遞 cookie攻擊中劫持受害者的​​帳戶。

TAG 安全工程師稱這樣的竊取技術(shù)已經(jīng)存在了幾十年，但它重新成為最大的安全風(fēng)險(xiǎn)可能是由于多因素身份驗(yàn)證 (MFA) 的廣泛采用使其難以進(jìn)行濫用，并將攻擊者的重點(diǎn)轉(zhuǎn)移到社會工程策略上。

隨后，Google TAG發(fā)布的聲明中表示，大多數(shù)觀察到的惡意軟件都能夠竊取用戶密碼和 cookie。一些樣本采用了多種反沙盒技術(shù)，包括擴(kuò)大文件、加密存檔和下載 IP 偽裝。觀察到一些顯示虛假錯(cuò)誤消息，需要用戶點(diǎn)擊才能繼續(xù)執(zhí)行

網(wǎng)絡(luò)安全專家通過分析得知，攻擊者試圖將目標(biāo)推向WhatsApp、Telegram或Discord等消息應(yīng)用程序，由于谷歌能夠通過Gmail阻止網(wǎng)絡(luò)釣魚企圖而未成。

黑客在進(jìn)行此活動中使用的一些惡意代碼包括：

參考文章：

https://securityaffairs.co/wordpress/123630/hacking/youtube-creators-accounts-hijacked-malware.html