Google aplasta a los secuestradores de canales que roban las cookies de YouTube - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Google aplasta a los secuestradores de canales que roban las cookies de YouTube

Hola y mil gracias por leerme. Te escribe Eduardo Arroyo y esta vez vamos a hablar sobre Google aplasta a los secuestradores de canales que roban las cookies de YouTube

Google aplasta a los secuestradores de canales que roban las cookies de YouTube

Google ha capturado y eliminado a un grupo de secuestradores de canales de YouTube que roban cookies y ejecutan estafas de criptomonedas o subastan canales estafados.

Google ha capturado y eliminado a un grupo de secuestradores de canales de YouTube que roban cookies y ejecutan estafas de criptomonedas en canales estafados.

en un Publicación del miércoles, Ashley Shen, del Grupo de Análisis de Amenazas (TAG) de Google, dijo que TAG atribuye los ataques a un grupo de atacantes reclutados en un foro de habla rusa. Desde finales de 2019, han estado atrayendo objetivos con invitaciones de colaboración falsas, incluidas solicitudes de compra de anuncios en sus canales objetivo.

(El paso de colaboración es similar a cómo [now-shuttered] Las cuentas de Twitter se utilizaron para atrapar a los investigadores de seguridad estableciendo sus trampas con días cero e invitaciones a colaborar.]

Los secuestradores de canales de YouTube están motivados financieramente, dijo Shen, tratando de subastar canales robados o usarlos para transmitir estafas de criptomonedas.

Monstruos de galletas

Para protegerse de los propietarios legítimos de canales, los atacantes atacaron a los YouTubers con malware que roba cookies.

Robo de cookies, también llamado secuestro de sesión o ataque de pasar la cookie, implica un estafador que piratea entre una computadora y un servidor para robar lo que se conoce como galleta mágica: una sesión que autentica a un usuario en un servidor remoto. Después de robar la cookie, un intruso puede monitorear y potencialmente capturar todo de la cuenta y tomar el control total de la conexión.

Los ladrones de cookies pueden, por ejemplo, modificar códigos existentes, cambiar la configuración del servidor o instalar nuevos programas para robar datos, configurar un puerto de acceso secundario para los atacantes y bloquear a los usuarios legítimos fuera de sus cuentas.

Como señaló Shen en su publicación, el ataque ha existido desde los albores de HTTP y ha aumentado recientemente: “Si bien la técnica ha existido durante décadas, su resurgimiento como riesgo de seguridad puede deberse a una adopción más amplia de múltiples La autenticación de factores (MFA) dificulta la realización de abusos y desplaza la atención de los atacantes hacia tácticas de ingeniería social ”, sugirió.

Receta de Google para Phish Stew

Google tiene algunos derechos de fanfarronear cuando se trata de colocar un radio en estas ruedas, de los cuales ha habido bastantes: en mayo de 2021, la compañía ha bloqueado 1.6 millones de mensajes de phishing enviados a objetivos, que muestran alrededor de 62K alertas. páginas, bloqueó archivos de 2.4K y recuperó con éxito cuentas de 4K secuestradas.

Los secuestradores de canales que roban cookies y ejecutan criptomonedas todavía existen, pero se han trasladado de Gmail a otros proveedores de correo electrónico: «principalmente email.cz, seznam.cz, post.cz y aol.com», escribió Shen. Google también ha proporcionado detalles al FBI para que la oficina pueda investigar más.

Propuestas de compra de anuncios falsos de una empresa audiovisual falsa

Entre otras tácticas, los atacantes diseñaron socialmente sus objetivos agitando dólares ante sus narices para compras publicitarias. Envían correos electrónicos haciéndose pasar por una empresa existente interesada en colaborar en un anuncio de video colocado en el canal del objetivo.

Aquí hay un ejemplo del tipo de succión que favorece al canal en los correos electrónicos de phishing:

Anuncio de compra falso de un fabricante de antivirus falso. Fuente: Google.

El siguiente paso para cualquiera que se enamore de ella es la página de inicio de malware, disfrazada como una URL de descarga de software enviada por correo electrónico o como un PDF a Google Drive o, en algunos casos, oculta como un enlace de phishing en un documento de Google.

Shen dijo que Google ha identificado alrededor de 15.000 cuentas detrás de los correos electrónicos de phishing, la mayoría de las cuales fueron creadas específicamente para esta campaña.

Hasta ahora, Google ha identificado al menos 1.011 dominios creados solo para esta campaña. Tienen grandes nombres de sitios legítimos administrados por marcas como Luminar, Cisco VPN y Steam Games.

Los atacantes también fingieron ser una empresa que ofrecía «software de noticias Covid19», como se muestra en la captura de pantalla a continuación, que muestra una página de inicio del malware y su mensaje recordatorio:

Recupere mensajes y páginas de destino para software de noticias COVID falsificado. Fuente: Google.

Google también encontró una página de Instagram falsa, que se muestra a continuación, que copiaba contenido de una plataforma de juegos en la nube real y reemplazaba su URL con una que conducía a una descarga de malware para robar cookies.

Cuentas de Instagram originales (izquierda) y falsas (derecha). Fuente: Google.

Smash and Grab antes de que la detección alcance el retraso

Después de que un objetivo se enamora de un señuelo y ejecuta el software falso, se ejecuta el malware que roba cookies. El malware roba las cookies del navegador y las carga en los servidores de comando y control (C2) de los atacantes.

Esta es una operación rápida, según Google TAG: «Aunque este tipo de malware se puede configurar para que sea persistente en la computadora de la víctima, estos actores ejecutan todo el malware en un modo no persistente como una técnica de destrucción y captura», explicó Shen.

Esta es una buena manera de escapar a la detección, dijo: «Si el archivo malicioso no se detecta cuando se ejecuta, hay menos artefactos en un host infectado y, por lo tanto, los productos de seguridad no notifican al usuario un compromiso pasado». escribió.

Venta de canales secuestrados, estafas de criptomonedas

Muchos de los canales secuestrados han sido renombrados para transmisión Online de estafas de criptomonedas. «El nombre del canal, la imagen de perfil y el contenido han sido reemplazados por la marca de criptomonedas para hacerse pasar por grandes empresas de intercambio de tecnología o criptomonedas», según el artículo. «El atacante ha transmitido videos Online que prometen obsequios de criptomonedas a cambio de una contribución inicial».

Si no se utilizan para vender estafas de criptomonedas, los canales venden en los mercados de comercio de cuentas entre $ 3 y $ 4,000 USD, dependiendo de cuántos suscriptores tengan.

Google rastreó las campañas de los atacantes de piratería contratados reclutados en foros en ruso a través de la descripción del trabajo que se muestra a continuación:

Descripción del trabajo de pirateo para contratar, que ofrece dos tipos de trabajos. Fuente: Google.

Asegure su canal

Google ha tomado una serie de medidas para evitar estos ataques, que incluyen:

  • Reglas heurísticas adicionales para detectar y bloquear correos electrónicos de phishing e ingeniería social, robo de cookies y transmisiones Online de criptomonedas.
  • Navegación segura además detecta y bloquea las páginas de destino y las descargas de malware.
  • YouTube fortaleció los flujos de trabajo de transferencia de canales, detectó y restauró automáticamente más del 99% de los canales pirateados.
  • La seguridad de la cuenta ha fortalecido los flujos de trabajo de autenticación para bloquear y notificar al usuario de posibles acciones sensibles.

La empresa también ha proporcionado estos consejos a los usuarios:

  • Toma en serio las advertencias de Navegación segura. Para evitar que el malware active detecciones antivirus, los actores de amenazas engañan a los usuarios para que deshabiliten o ignoren las alertas.
  • Antes de ejecutar el software, busque virus utilizando un antivirus o una herramienta de detección de virus Online, como VirusTotal para verificar la legitimidad del expediente.
  • Habilite el «Protección avanzada para una navegación segura«modo» en su navegador Chrome, una función que aumenta las alertas sobre archivos y páginas web potencialmente sospechosos.
  • Tenga cuidado con los archivos cifrados que a menudo evaden los análisis de detección de virus, lo que aumenta el riesgo de ejecutar archivos maliciosos.
  • Proteja su cuenta con Verificación en dos pasos (también conocida como autenticación multifactor o MFA) que proporciona una capa adicional de seguridad a su cuenta en caso de robo de contraseña. A partir del 1 de noviembre, monetizar a los creadores de YouTube debe iluminarse Verificación de dos pasos en la cuenta de Google utilizada para que su canal de YouTube inicie sesión en YouTube Studio o en el Administrador de contenido de YouTube Studio.

De hecho, los ataques de paso de cookies son «un testimonio de la importancia de habilitar MFA en cuentas sensibles», según Stefano De Blasi, analista de inteligencia de amenazas cibernéticas en Digital Shadows.

«Debido al nivel adicional de seguridad que ofrece el MFA, los atacantes probablemente tuvieron que aumentar la sofisticación de sus operaciones (correos electrónicos de phishing dirigidos y dominios fraudulentos ad-hoc) para piratear estas cuentas de YouTube», señaló en un comunicado de prensa. a Threatpost miércoles. . «En última instancia, a pesar de la aparición de métodos de ataque como Pass-the-Cookie, MFA sigue siendo actualmente la mejor defensa contra los ciberdelincuentes interesados ​​en robar las credenciales de los empleados, ya que evita otras tácticas de apropiación de cuentas como la reutilización de credenciales y la fuerza bruta».

Mas consejos

John Bambenek, el principal cazador de amenazas de Netenrich, dijo a Threatpost el miércoles que, por el lado positivo, este tipo de ataques tienden a ser solo adquisiciones parciales de cuentas. “El robo de cookies, por sí solo, generalmente no es suficiente para permitir que alguien cambie [a] contraseña, eliminar 2FA o apoderarse de la cuenta «, dijo por correo electrónico.

Pero los creadores que están ganando dinero de verdad pueden querer tomar algunas precauciones adicionales, aconseja Bambenek: «Es posible que quieran suscribirse a sus canales a través de su teléfono inteligente (utilizando una cuenta diferente a la que publican) para poder recibir alertas cuando ven. nuevo contenido subido «, sugirió. “También pueden querer usar hardware dedicado para la transmisión y publicación, que es el único lugar donde inician sesión con su cuenta de creador, lo que reducirá en gran medida cualquier impacto que pueda tener el malware. Cuanto más dinero genere su canal, más protección deberían pensar «.

En cuanto a mitigar estos ataques, es complejo, dijo De Blasi, ya que no son exactamente ciencia espacial: no requieren «un conocimiento profundo del usuario original o derechos de administrador particulares», dijo.

Sin embargo, los equipos de seguridad «pueden establecer medidas más estrictas sobre cómo se almacenan las cookies de autenticación y con qué frecuencia se eliminan», continuó. «Además, alinear este método de autenticación con otras mejores prácticas de seguridad, como el monitoreo de huellas dactilares y el monitoreo del comportamiento, es la mejor manera de mitigar los ataques basados ​​en credenciales».

.

No te olvides compartir en en tu Twitter y Facebook para que tus amigos lo flipen

??? ? ? ???

Comparte