Gli attori di minacce finanziariamente motivati stanno utilizzando il malware Cookie Theft in attacchi di phishing contro creator di YouTube. I ricercatori del Threat Analysis Group (TAG) di Google che hanno individuato la campagna e interrotto le relative campagne di phishing dal 2019, in collaborazione con i team di YouTube, Gmail, Trust & Safety, CyberCrime Investigation Group e Navigazione sicura hanno ridotto il volume delle e-mail di phishing correlate su Gmail del 99,6% da maggio 2021.
Gli attori dietro questa campagna, che i ricercatori hanno attribuito a un gruppo di hacker reclutati in un forum di lingua russa, adescano il loro bersaglio con false opportunità di collaborazione (tipicamente una demo per software antivirus, VPN, lettori musicali, fotoritocco o giochi online) e dirotta il loro canale, quindi vendilo al miglior offerente o utilizzalo per trasmettere truffe di criptovaluta.
Molti creator di YouTube forniscono un indirizzo e-mail sul proprio canale per opportunità commerciali. In questo caso, gli aggressori hanno inviato e-mail commerciali contraffatte impersonando un’azienda esistente che richiedeva una collaborazione pubblicitaria video.
Il phishing solitamente iniziava con un’e-mail personalizzata che presentava l’azienda e i suoi prodotti. Una volta che l’obiettivo ha accettato l’accordo, una pagina di destinazione del malware mascherata da URL di download del software è stata inviata tramite e-mail o PDF su Google Drive e, in alcuni casi, documenti di Google contenenti i link di phishing. Sono stati identificati circa 15.000 account di attori, la maggior parte dei quali creati appositamente per questa campagna.
Gli aggressori hanno registrato vari domini associati a società contraffatte e hanno creato più siti Web per la consegna di malware. Identificato almeno 1.011 domini creati esclusivamente per questo scopo. Alcuni dei siti Web rappresentavano siti software legittimi, come Luminar, Cisco VPN, giochi su Steam e alcuni sono stati generati utilizzando modelli online.
Poiché Google rileva e interrompe attivamente i collegamenti di phishing inviati tramite Gmail, gli attori sono stati osservati mentre miravano ad app di messaggistica come WhatsApp, Telegram o Discord.
Una volta che l’obiettivo esegue il software falso, viene eseguito un cookie che ruba malware, prendendo i cookie del browser dalla macchina della vittima e caricandoli sui server di comando e controllo dell’attore. Questi attori eseguono tutto il malware in modalità non persistente come tecnica di distruzione e cattura cosicché, se il file dannoso non viene rilevato durante l’esecuzione, risultano meno artefatti su un host infetto e quindi i prodotti di sicurezza non notificano all’utente una compromissione passata.
Gli attori utilizzano vari tipi di malware in base alle preferenze personali, la maggior parte dei quali è facilmente disponibile su Github. Alcuni malware utilizzati includono RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad (nome di Google) e Kantal (nome di Google) che condivide la somiglianza del codice con Vidar. Sono stati osservati anche malware open source come Sorano e AdamantiumThief.
La maggior parte del malware osservato era in grado di rubare sia le password degli utenti che i cookie. Alcuni dei campioni impiegavano diverse tecniche anti-sandbox, inclusi file ingranditi, archivi crittografati e cloaking IP di download. Alcuni sono stati osservati visualizzare un falso messaggio di errore che richiedeva il click-through dell’utente per continuare l’esecuzione.
Inoltre, un gran numero di canali dirottati è stato rinominato per il live streaming di criptovalute. Il nome del canale, l’immagine del profilo e il contenuto sono stati tutti sostituiti con il marchio di criptovaluta per impersonare grandi aziende tecnologiche o di scambio di criptovalute. L’attaccante ha trasmesso in live streaming video che promettono omaggi di criptovaluta in cambio di un contributo iniziale.
Sui mercati di trading di account, i canali dirottati variavano da $ 3 USD a $ 4.000 USD a seconda del numero di abbonati.
“Queste campagne sono state realizzate da un numero di attori hacker reclutati nei forum di lingua russa tramite una descrizione del lavoro, offrendo due tipi di lavoro. Questo modello di reclutamento spiega l’ingegneria sociale altamente personalizzata, nonché i vari tipi di malware data la scelta di ogni attore di malware preferito”, conclude l’analisi dei ricercatori.