前有facebook不要臉，后有YouTube創(chuàng)作者被釣魚。

本周，谷歌威脅分析小組(TAG)發(fā)現(xiàn)，一種Cookie盜竊惡意軟件被用于針對(duì)YouTube創(chuàng)作者進(jìn)行網(wǎng)絡(luò)釣魚攻擊。

[[430670]]

來(lái)自俄羅斯的黑客“雇傭兵”

報(bào)告稱，2019年末以來(lái)，出于經(jīng)濟(jì)目的網(wǎng)絡(luò)黑客利用Cookie Theft惡意軟件對(duì)YouTube創(chuàng)作者進(jìn)行網(wǎng)絡(luò)釣魚攻擊，經(jīng)谷歌威脅分析小組 (TAG) 研究人員分析發(fā)現(xiàn)，這些攻擊是由在俄羅斯招募的多位受雇黑客實(shí)施發(fā)起。

以下是發(fā)布在黑客論壇，對(duì)于招募黑客需求的描述:

“雇傭兵”黑客假借殺毒軟件、虛擬專用網(wǎng)、音樂(lè)播放器、照片編輯或網(wǎng)絡(luò)游戲演示等合作的名義，劫持YouTube創(chuàng)作者頻道。一旦成功劫持YouTube創(chuàng)作者頻道，“雇傭兵”黑客則會(huì)有兩種處理方案，一是將頻道出售給出價(jià)最高的買家，二是將頻道用于加密貨幣詐騙計(jì)劃。黑客在出售劫持頻道時(shí)，通常會(huì)根據(jù)訂閱者的數(shù)量進(jìn)行定價(jià)，一般在3美元到4000美元不等。

蓄謀已久的攻擊活動(dòng)

在黑客實(shí)施攻擊過(guò)程中，會(huì)將惡意軟件登陸頁(yè)面?zhèn)窝b成軟件下載URL，通過(guò)電子郵件或 Google Drive上的PDF或包含網(wǎng)絡(luò)釣魚鏈接的Google文檔進(jìn)行投放。溯源過(guò)程中，谷歌威脅分析小組 (TAG) 研究人員確定了大約15000個(gè)黑客相關(guān)帳戶，其中大部分是專門為此攻擊活動(dòng)創(chuàng)建的。

研究人員還觀察到，黑客將目標(biāo)推向WhatsApp、Telegram或Discord等消息應(yīng)用程序，而一旦在目標(biāo)系統(tǒng)上運(yùn)行假冒軟件惡意軟件就會(huì)被用來(lái)竊取他們的憑據(jù)和瀏覽器 cookie，從而允許攻擊者在傳遞 cookie 攻擊中劫持受害者的帳戶。同時(shí)，惡意軟件從受感染的機(jī)器竊取瀏覽器cookie并將其發(fā)送到 C2 服務(wù)器。

需要注意的是，此次活動(dòng)中涉及的所有惡意軟件都以非持久模式運(yùn)行。具體使用的惡意代碼，則包括 RedLine、Vidar、PredatorThe Thief、Nexus 竊取程序、Azorult、Raccoon、Grand Stealer、Vikro Stealer、Masad 和 Kantal，以及Sorano和 AdamantiumThief等開(kāi)源惡意軟件 。

針對(duì)這一波攻擊活動(dòng)，相關(guān)專家表示，“雖然該技術(shù)已經(jīng)存在了 幾十年，但它重新成為最大的安全風(fēng)險(xiǎn)可能是由于多因素身份驗(yàn)證 (MFA) 的廣泛采用使其難以進(jìn)行濫用，并將攻擊者的重點(diǎn)轉(zhuǎn)移到社會(huì)工程策略上” 。

其實(shí)，大多數(shù)觀察到的惡意軟件都能夠竊取用戶密碼和 cookie。一些樣本采用了多種反沙盒技術(shù)，包括擴(kuò)大文件、加密存檔和下載 IP 偽裝。觀察到一些顯示虛假錯(cuò)誤消息，都需要用戶點(diǎn)擊才能繼續(xù)執(zhí)行。

面對(duì)這類威脅，YouTube創(chuàng)作者需要提高警惕了。

原文轉(zhuǎn)載自： https://www.anquanke.com/post/id/256931