“CookieStealer”恶意劫持YouTube创作者账户“钓鱼事件”始于2019年底,该网络攻击利用CookieTheft恶意软件对YouTube创作者进行钓鱼攻击,以获取经济利益。根据谷歌威胁分析组(TAG)安全人员的研究,这些攻击者是通过在俄语论坛上发布的黑客招募信息聚集起来的,以下是用于招募黑客的职位描述。传播“合作机会”黑客窃取YouTube创作者帐户的方式非常具有欺诈性。黑客首先发布虚假的合作机会,利用虚假的合作机会(即杀毒软件、虚拟专用网络、音乐播放器、照片编辑或在线游戏)进行宣传),YouTube创作者运行虚假软件,从而触发窃取cookie的执行恶意软件。该恶意软件从受感染的机器上窃取浏览器cookie,并将它们发送到C2服务器,从而成功窃取YouTube创作者的频道。一旦频道被劫持,黑客将以3美元到4,000美元不等的价格出售被劫持的频道,具体价格取决于订户数量。此外,攻击者将进行竞价,将其卖给出价最高的人。网络钓鱼模式:攻击者将恶意软件登陆页面伪装成软件下载的URL,并通过电子邮件或将它们作为包含网络钓鱼链接的GoogleDrive或GoogleDocs上的PDF发送。一旦恶意软件在目标系统上运行,它就会窃取创建者的凭据。和浏览器cookie,允许攻击者在传递cookie攻击中劫持受害者的??帐户。TAG安全工程师表示,这种窃取技术已经存在了几十年,但它重新成为头号安全风险可能是由于多因素身份验证(MFA)的广泛采用使其更难被滥用,并将攻击者的注意力转移到社会工程策略上.随后,GoogleTAG发表声明称,大多数观察到的恶意软件都能够窃取用户密码和cookie。一些样本采用了多种反沙盒技术,包括扩展文件、加密档案和下载IP伪装。观察到一些显示虚假错误消息,要求用户单击以继续网络安全专家分析说,攻击者试图将他们的目标推送到WhatsApp、Telegram或Discord等消息传递应用程序,但由于谷歌能够阻止通过Gmail进行网络钓鱼尝试,这些应用程序失败了。黑客在此活动中使用的一些恶意代码包括:RedLine、Vidar、PredatorTheThief、NexusStealer、Azorult、Raccoon、GrandStealer、VikroStealer、Masad和Kantal,以及Sorano和AdamantiumThief。参考文章:https://securityaffairs.co/wordpress/123630/hacking/youtube-creators-accounts-hijacked-malware.html
