Ciberdelincuentes están secuestrando canales de Youtube con un malware que roba cookies
Google detectó un grupo de secuestradores de canales de YouTube que robaban cookies y que estaban ejecutando estafas de criptomonedas en los canales secuestrados.
En una publicación reciente, Ashley Shen, del Grupo de Análisis de Amenazas (TAG) de Google, dijo que TAG atribuye los ataques a un grupo de atacantes reclutados en un foro de habla rusa. Desde finales de 2019, han estado atrayendo objetivos con falsos comentarios de colaboración, incluidas solicitudes para comprar anuncios en los canales de sus objetivos.
(El argumento de colaboración es similar a cómo las cuentas de Twitter [ahora cerradas] se han utilizado para atrapar a los investigadores de seguridad. En el caso de las cuentas de Twiter se usaban para colocar trampas con días cero e invitaciones de colaboración).
Los secuestradores de canales de YouTube están motivados financieramente, y buscan subastar los canales robados o usarlos para difundir estafas de criptomonedas.
Monstruos de galletas
Para sacar del camino a los propietarios legítimos de canales, los atacantes han estado apuntando a los YouTubers con un malware que roba cookies.
El robo de cookies, que también se denomina secuestro de sesión o ataque de pasar la cookie, implica que un delincuente se inserta entre una computadora y un servidor para robar lo que se conoce como una cookie mágica. Una magic cookie es una sesión que autentica a un usuario en un servidor remoto. Después de robar la cookie, un intruso puede monitorear y potencialmente capturar todo de la cuenta y tomar el control total de la conexión.
Los ladrones de cookies pueden, por ejemplo, cambiar códigos existentes, modificar la configuración del servidor o instalar nuevos programas. El objetivo final es robar datos, configurar una puerta trasera para los atacantes y bloquear a los usuarios legítimos de sus propias cuentas.
Como señaló Shen en su publicación, el ataque ha existido desde casi los albores de HTTP, y recientemente resurgió.
“Si bien la técnica ha existido durante décadas, su resurgimiento como un riesgo de seguridad podría deberse a una adopción más amplia de la autenticación multifactor (MFA). MFA dificulta la realización de abusos y cambia el enfoque del atacante hacia tácticas de ingeniería social”.
Ashley Shen
Método de Google para detectar ciberdelincuentes
Google tiene algunos derechos de fanfarronear cuando se trata de detectar y bloquear ciberdelincuentes. Desde mayo de 2021, la compañía ha bloqueado 1.6 millones de mensajes de phishing enviados a objetivos. Google lo ha logrado mostrando alrededor de 62,000 advertencias de páginas de phishing a través de la navegación segura. Para ser más específicos, bloqueó miles de archivos y recuperó con éxito 4 mil cuentas secuestradas.
Los secuestradores de canales que ejecutan estafas de criptomonedas y robo de cookies todavía están ahí, pero han pasado de Gmail a otros proveedores de correo electrónico. Actualmente están usando principalmente email.cz, seznam.cz, post.cz y aol.com. Google también ha dado detalles al FBI para que la oficina pueda investigar más.
Anuncios falsos de una empresa antivirus falsa
Entre otras tácticas, los atacantes han estado manipulando socialmente a sus objetivos agitando dólares para comprar supuestos anuncios. Envían correos electrónicos haciéndose pasar por una empresa existente que está interesada en colaborar en un anuncio de video colocado en el canal del objetivo.
Aquí hay un ejemplo de este tipo de treta con correos electrónicos de phishing:
El siguiente paso para cualquiera que se enamore del ofrecimiento es la página de destino (landing page) de malware. Esta está disfrazada como una URL de descarga de software enviada por correo electrónico o como un PDF en Google Drive o, en algunos casos, escondida como un enlace de phishing en un documento de Google.
Google identificó alrededor de 15,000 cuentas detrás de los correos electrónicos de phishing, la mayoría de las cuales fueron creadas específicamente para esta campaña.
Hasta ahora, Google ha identificado al menos 1,011 dominios creados solo para esta campaña. Están haciendo alarde de grandes nombres de sitios legítimos administrados por marcas como Luminar, Cisco VPN y Steam.
Los atacantes también se hicieron pasar por una empresa que ofrece un “software de noticias sobre Covid19“. Tal como puedes ver en la captura de pantalla a continuación, esta es una landing page de malware con un mensaje atractivo:
Google también encontró una página de Instagram falsa, que se muestra a continuación. La página copiaba contenido de una plataforma de juegos real en la nube y reemplazaba su URL por una que conducía a una descarga de malware de robo de cookies.
Robos audaces para evitar la detección
Después de que un objetivo se enamora de un señuelo y ejecuta el software falso, se ejecuta el malware que roba cookies. El malware roba las cookies del navegador y las carga en los servidores de comando y control (C2) de los atacantes.
Esta es una operación muy rápida y audaz según Google. Aunque este tipo de malware se puede configurar para que sea persistente en la máquina de la víctima, estos atacantes ejecutan todo el malware en modo no persistente como una técnica muy astuta.
Esa es una buena forma de escapar a la detección Si el archivo malicioso no se detecta cuando se ejecuta, hay menos artefactos en un host infectado. Y, por lo tanto, los productos de seguridad no notifican al usuario un compromiso pasado.
Venta de canales secuestrados, estafas de criptomonedas
Muchos de los canales secuestrados cambiaron de nombre para la transmisión en vivo de estafas de criptomonedas. El nombre del canal, la imagen de perfil y el contenido fueron reemplazados para hacerse pasar por grandes empresas de tecnología o intercambio de criptomonedas. Generalmente, el atacante transmitió en vivo videos que prometían obsequios de criptomonedas a cambio de una contribución inicial.
Si no se utilizan para promocionar estafas de criptomonedas, los canales se venden en los mercados clandestinos de cuentas a entre $3,000 y $4,000 dólares, dependiendo de la cantidad de suscriptores que tengan.
Google rastreó las campañas hasta atacantes que contratan “hackers a sueldo” en foros rusos a través de la descripción del trabajo que se muestra a continuación:
Protección de tu canal
Google ha tomado una serie de medidas para evitar estos ataques, que incluyen:
- Reglas heurísticas adicionales para detectar y bloquear correos electrónicos de phishing e ingeniería social, robo de cookies y transmisiones en vivo de criptoestafas.
- La navegación segura detecta y bloquea aún más las páginas de destino y las descargas de malware.
- YouTube ha reforzado los flujos de trabajo de transferencia de canales, ha detectado y recuperado automáticamente más del 99 por ciento de los canales secuestrados.
- La seguridad de la cuenta ha reforzado los flujos de trabajo de autenticación para bloquear y notificar al usuario sobre posibles acciones sensibles.
Consejos de Google
La compañía también recomienda estos consejos a los usuarios:
- Debes tomar en serio las advertencias de navegación segura. Para evitar que el malware active detecciones de antivirus, los actores de amenazas incitan a los usuarios en redes sociales para que desactiven o ignoren las advertencias.
- Antes de ejecutar el software, debes realizar un análisis de virus con un antivirus o una herramienta de análisis de virus en línea como VirusTotal para verificar la legitimidad del archivo.
- Debes habilitar el modo “Protección mejorada de navegación segura” en tu navegador Chrome. Esta es una función que aumenta las advertencias sobre páginas web y archivos potencialmente sospechosos.
- Ten en cuenta los archivos cifrados que a menudo pasan por alto los análisis de detección de antivirus. Esto aumenta el riesgo de ejecutar archivos maliciosos.
- Tienes que proteger tu cuenta con la verificación de 2 pasos (también conocida como autenticación multifactor, o MFA). MFA proporciona una capa adicional de seguridad a tu cuenta en caso de que te roben la contraseña. A partir del 1 de noviembre, los creadores de YouTube que monetizan deben activar la verificación en dos pasos en la cuenta de Google utilizada para su canal de YouTube para acceder a YouTube Studio o al Administrador de contenido de YouTube Studio.
Pass-the-cookie
De hecho, los ataques pass-the-cookie son un testimonio de la importancia de habilitar MFA en cuentas sensibles.
Debido a la capa adicional de seguridad otorgada por MFA, los atacantes probablemente tuvieron que aumentar la sofisticación de su operación (correos electrónicos de phishing dirigidos y dominios fraudulentos ad-hoc) para vulnerar estas cuentas de YouTube. En última instancia, a pesar de la aparición de métodos de ataque como Pass-the-Cookie, MFA sigue siendo actualmente la mejor defensa contra los ciberdelincuentes interesados en robar las credenciales de los usuarios. Esto porque evita otras tácticas de apropiación de cuentas como la reutilización de credenciales y la fuerza bruta.
Mas consejos
El investigador John Bambenek dijo que, viendo el lado positivo, este tipo de ataques tienden a ser solo adquisiciones parciales de cuentas. “El robo de cookies, por sí solo, generalmente no es suficiente para permitir que alguien cambie [una] contraseña, elimine 2FA o retenga la cuenta de alguna otra manera”, concluyó.
Pero los creadores que están ganando dinero de verdad pueden querer tomar algunas precauciones más. Por ejemplo, es posible que deseen suscribirse a sus propios canales a través de du teléfono inteligente (utilizando una cuenta diferente a la que publican). Esto para poder recibir avisos cuando se carga nuevo contenido. También es posible que deseen utilizar hardware dedicado para la transmisión y la publicación, que es el único lugar en el que inician sesión con su cuenta de creador, lo que mitigará en gran medida cualquier impacto que pueda tener el malware. Cuanto más dinero implique tu canal, más protección deberías utilizar.
En lo que respecta a mitigar estos ataques, es complejo, dado que no son exactamente ciencia espacial. Los ataques no requieren un conocimiento profundo del usuario original ni de ningún derecho de administrador en particular.
Aun así, los equipos de seguridad “pueden establecer medidas más estrictas sobre cómo se almacenan las cookies de autenticación y con qué frecuencia se eliminan. Además, alinear este método de autenticación con otras mejores prácticas de seguridad como el seguimiento de huellas digitales y el monitoreo del comportamiento es la mejor manera de mitigar los ataques basados en credenciales.