Google Menghancurkan Pembajak Saluran Pencuri Cookie YouTube

Google telah menangkap dan menepis sekelompok pembajak saluran YouTube pencuri cookie yang menjalankan penipuan cryptocurrency di saluran yang dipalsukan.

Dalam posting hari Rabu, Ashley Shen, dengan Grup Analisis Ancaman Google (TAG), mengatakan bahwa TAG mengaitkan serangan tersebut kepada sekelompok penyerang yang direkrut dari forum berbahasa Rusia. Sejak akhir 2019, mereka telah memikat target dengan kolaborasi palsu, termasuk permintaan untuk membeli iklan di saluran target mereka.

(Pitch kolaborasi mirip dengan bagaimana akun Twitter [sekarang ditutup] digunakan untuk keamanan ikan lele peneliti dengan menetapkan perangkap mereka dengan nol hari dan undangan kolaborasi.]

Pembajak saluran YouTube termotivasi secara finansial, kata Shen, ingin melelang saluran yang dicuri atau menggunakannya untuk menyiarkan penipuan cryptocurrency.

Monster Cookie

Untuk menyikut pemilik saluran yang sah. Omong-omong, penyerang telah menargetkan YouTuber dengan malware pencurian cookie. Pencurian cookie

, yang juga disebut pembajakan sesi atau serangan pass-the-cookie, melibatkan penjahat yang memasukkan dirinya sendiri antara komputer dan server untuk mencuri apa yang dikenal sebagai cookie ajaib: sesi yang mengautentikasi pengguna ke server jarak jauh. Setelah mencuri cookie, penyusup dapat memantau dan berpotensi y menangkap semuanya dari akun dan dapat mengambil kendali penuh atas koneksi.

Pencuri cookie dapat, misalnya, mengubah kode yang ada, memodifikasi pengaturan server atau menginstal program baru untuk mencuri data, menyiapkan entri pintu belakang untuk penyerang, dan mengunci pengguna yang sah keluar dari akun mereka sendiri.

Seperti yang dicatat Shen dalam postingnya, serangan itu telah ada sejak hampir awal HTTP itu sendiri, dan baru-baru ini muncul kembali: “Meskipun teknik ini telah ada selama beberapa dekade, kebangkitannya sebagai keamanan teratas risiko bisa jadi karena adopsi yang lebih luas dari otentikasi multi-faktor (MFA) sehingga sulit untuk melakukan penyalahgunaan, dan mengalihkan fokus penyerang ke taktik rekayasa sosial,” sarannya.

Resep Google untuk Phish Stew

Google punya hak menyombongkan diri dalam hal bertahan a berbicara ke roda ini, yang ada beberapa: Sejak Mei 2021, perusahaan telah memblokir 1,6 juta pesan phishing yang dikirim ke target, ditampilkan sekitar 62 ribu phishing Penjelajahan Aman g peringatan halaman, memblokir 2.4K file dan berhasil mendapatkan kembali sekitar 4K akun yang dibajak.

Pembajak saluran yang mencuri cookie dan menjalankan cryptocurrency-scam masih ada, tetapi mereka telah beralih dari Gmail ke penyedia email lain: “kebanyakan email.cz , seznam.cz, post.cz dan aol.com,” tulis Shen. Google juga telah memberikan rincian kepada FBI sehingga biro dapat menyelidiki lebih lanjut.

Penawaran Pembelian Iklan Palsu Dari Perusahaan AV Palsu

Di antara taktik lainnya, penyerang telah merekayasa target mereka secara sosial dengan melambaikan dolar pembelian iklan di bawah hidung mereka. Mereka mengirim email yang menyamar sebagai perusahaan yang sudah ada yang tertarik untuk berkolaborasi pada iklan video yang ditempatkan di saluran target.

Ini salah satu contoh jenis penyedotan saluran menyanjung dalam email phishing:
Pitch pembelian iklan palsu dari palsu pembuat antivirus. Sumber: Google.

Selanjutnya bagi siapa saja yang jatuh untuk itu adalah halaman arahan malware, menyamar sebagai URL unduhan perangkat lunak yang dikirim melalui email atau sebagai PDF di Google Drive atau, dalam beberapa kasus, terselip sebagai tautan phishing ke Google document.

Shen mengatakan bahwa Google mengidentifikasi sekitar 15.000 akun di balik email phishing, yang sebagian besar dibuat khusus untuk kampanye ini.

Sejauh ini, Google mengidentifikasi setidaknya 1.011 domain yang dibuat hanya untuk kampanye ini. Mereka memamerkan nama besar situs sah yang dijalankan oleh merek seperti Luminar, Cisco VPN, dan game Steam.

Penyerang juga menyamar sebagai perusahaan yang menawarkan “perangkat lunak berita Covid19,” seperti yang ditunjukkan pada tangkapan layar di bawah, yang menggambarkan pendaratan malware halaman dan pesan iming-imingnya: pesan
Lure dan halaman arahan untuk perangkat lunak berita COVID palsu. Sumber: Google.

Google juga menemukan halaman Instagram palsu, yang ditunjukkan di bawah, yang menyalin konten dari platform game cloud nyata dan mengganti URL-nya dengan yang mengarah ke unduhan malware pencurian cookie.
Instagram asli (kiri) dan palsu (kanan) akun. Sumber: Google.

Smash-and-Grab Sebelum Deteksi Dikejar

Setelah target terpikat dan menjalankan perangkat lunak palsu, malware pencuri cookie akan dieksekusi. Malware tersebut mencuri cookie browser dan mengunggahnya ke server command-and-control (C2) penyerang.

Ini adalah operasi yang cepat, menurut Google TAG: “Meskipun jenis malware ini dapat dikonfigurasi agar tetap berada di komputer korban mesin, aktor ini menjalankan semua malware dalam mode non-persisten sebagai teknik smash-and-grab,” jelas Shen.

Itu cara yang baik untuk menghindari deteksi, dia berkata: “Jika file berbahaya tidak terdeteksi saat dieksekusi, ada lebih sedikit artefak pada host yang terinfeksi dan oleh karena itu produk keamanan gagal memberi tahu pengguna tentang kompromi sebelumnya,” tulisnya.

Menjual Saluran yang Dibajak, Penipuan Cryptocurrency

Banyak saluran yang dibajak diganti namanya untuk streaming langsung penipuan cryptocurrency. “Nama saluran, gambar profil, dan konten semuanya diganti dengan merek cryptocurrency untuk meniru perusahaan teknologi besar atau pertukaran cryptocurrency,” menurut artikel tersebut. “Video streaming langsung penyerang yang menjanjikan hadiah cryptocurrency sebagai imbalan atas kontribusi awal.”

Jika mereka tidak digunakan untuk menjajakan penipuan cryptocurrency, saluran tersebut menjual di pasar perdagangan akun dengan harga antara $3 dan $4,000 USD, tergantung pada berapa banyak pelanggan yang mereka miliki.

Google menelusuri kampanye ke penyerang “retas-untuk-disewa” yang direkrut di forum berbahasa Rusia melalui deskripsi pekerjaan yang ditunjukkan di bawah ini:
Deskripsi pekerjaan hack-for-hire, menawarkan dua jenis pekerjaan. Sumber: Google.

Melindungi Saluran Anda

Google mengambil sejumlah langkah untuk menangkal serangan ini, termasuk:

    Aturan heuristik tambahan untuk mendeteksi dan memblokir email phishing & manipulasi psikologis, pembajakan pencurian cookie, dan streaming langsung crypto-scam.

    Penjelajahan Aman mendeteksi dan memblokir malware lebih lanjut halaman arahan dan unduhan.

    YouTube telah memperkuat alur kerja transfer saluran, mendeteksi dan memulihkan secara otomatis lebih dari 99 persen saluran yang dibajak.

    Account Security telah memperkuat alur kerja otentikasi untuk memblokir dan memberi tahu pengguna tentang kemungkinan tindakan sensitif

Perusahaan juga menyampaikan kiat-kiat ini untuk pengguna:

<

ul>Ambil Peringatan Safe Browsing serius. Untuk menghindari malware yang memicu deteksi antivirus, pelaku ancaman pengguna social engineer untuk mematikan atau mengabaikan peringatan.

Sebelum menjalankan perangkat lunak, lakukan pemindaian virus menggunakan antivirus atau alat pemindaian virus online seperti VirusTotal untuk memverifikasi legitimasi file.

Aktifkan mode “Perlindungan Penjelajahan Aman yang Ditingkatkan” di browser Chrome Anda, fitur yang meningkatkan peringatan pada halaman web & file yang berpotensi mencurigakan.

Waspadai arsip terenkripsi yang sering kali melewati pemindaian deteksi antivirus, meningkatkan risiko menjalankan file berbahaya.

Lindungi akun Anda dengan Verifikasi 2 Langkah (alias multi -faktor otentikasi, atau MFA) yang memberikan lapisan keamanan ekstra ke akun Anda jika kata sandi Anda dicuri. Mulai 1 November, pembuat konten YouTube yang melakukan monetisasi harus mengaktifkan Verifikasi 2 Langkah di Akun Google yang digunakan untuk saluran YouTube mereka untuk mengakses YouTube Studio atau Pengelola Konten YouTube Studio. mengaktifkan MFA pada akun sensitif,” menurut Stefano De Blasi, Analis Intelijen Ancaman Cyber ​​di Digital Shadows.

“Karena lapisan keamanan ekstra yang diberikan oleh MFA, penyerang kemungkinan besar harus meningkatkan kecanggihan operasi mereka (email phishing yang ditargetkan dan domain penipuan ad-hoc) untuk melanggar akun YouTube ini,” katanya dalam email ke Threatpost pada hari Rabu. “Pada akhirnya, terlepas dari munculnya metode serangan seperti Pass-the-Cookie, MFA saat ini tetap menjadi pertahanan terbaik melawan penjahat dunia maya yang tertarik mencuri kredensial karyawan, karena mencegah taktik pengambilalihan akun lainnya seperti penggunaan kembali kredensial dan paksaan.”

Selengkapnya Tips

John Bambenek, Pemburu Ancaman Utama di Netenrich, mengatakan kepada Threatpost pada hari Rabu bahwa pada sisi positifnya, jenis serangan ini cenderung hanya mengambil alih sebagian akun. “Pencurian cookie, dengan sendirinya, biasanya tidak cukup untuk memungkinkan seseorang mengubah kata sandi [a], menghapus 2FA, atau menyita akun,” katanya melalui email.

Tetapi pembuat yang menghasilkan uang nyata mungkin ingin mengambil beberapa lagi Tindakan pencegahan, Bambenek menyarankan: “Mereka mungkin ingin berlangganan saluran mereka sendiri melalui ponsel pintar mereka (menggunakan akun yang berbeda dari yang mereka publikasikan) sehingga mereka bisa mendapatkan pemberitahuan ketika konten baru diunggah,” sarannya. “Mereka mungkin juga ingin menggunakan perangkat keras khusus untuk streaming dan penerbitan yang merupakan satu-satunya tempat mereka masuk dengan akun pembuatnya, yang akan sangat mengurangi dampak malware apa pun. Semakin banyak uang yang terlibat dalam saluran mereka, semakin banyak perlindungan yang harus mereka pikirkan.”

Sejauh mengurangi serangan ini, ini rumit, kata De Blasi, mengingat bahwa mereka bukan ilmu roket: Mereka tidak memerlukan -pengetahuan mendalam tentang pengguna asli atau hak administrator tertentu,” katanya.

Namun, tim keamanan “dapat menetapkan langkah-langkah yang lebih ketat tentang bagaimana cookie otentikasi disimpan dan seberapa sering mereka dihapus,” lanjutnya. “Selain itu, menyelaraskan metode otentikasi ini dengan praktik terbaik keamanan lainnya seperti pelacakan jejak digital dan pemantauan perilaku adalah cara terbaik untuk mengurangi serangan berbasis kredensial.”

Wagiman Wiryosukiro

Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

You may also like...

%d bloggers like this: