- Joined
- Jan 19, 2011
- Messages
- 7,653
- Contests
- 0
- Reaction score
- 112
Всем салют, дорогие друзья!
Мно*гие юту*беры ста*ли жер*тва*ми хорошо ско*орди*ниро*ван*ных фишин*говых атак, где глав*ной целью хакеров был угон чужих YouTube-каналов и финан*совая выгода. Про*исхо*дило это два года назад, но в Google пре*дали инци*дент огласке толь*ко сей*час. Давай прой*дем*ся по изло*жен*ным в отче*те ком*пании фак*там и раз*берем*ся, что имен*но про*исхо*дило.
Два года назад мно*жес*тво юту*беров ста*ли жер*тва*ми хорошо ско*орди*ниро*ван*ных фишин*говых атак, где глав*ной целью хакеров был угон чужих YouTube-каналов и финан*совая выгода. За эти*ми ата*ками сто*яло нес*коль*ко лиц, которых орга*низа*торы схе*мы нанима*ли через объ*явле*ния о вакан*сиях на рус*ско*языч*ных хак‑форумах.
Таким образом ребята искали пар*тне*ров для про*веде*ния фишин*говых атак и атак с исполь*зовани*ем соци*аль*ной инже*нерии. Сог*ласно серии таких рек*ламных объ*явле*ний, пар*тне*рам груп*пиров*ки пред*лагалось получить 25% или 75% от доходов с укра*ден*ного акка*унта, в зависи*мос*ти от уров*ня их учас*тия и слож*ности фишин*га. Акка*унты обыч*но выс*тавля*лись на про*дажу по цене от 20 до 10 000 дол*ларов США.
Еще в 2019 году на форумах под*дер*жки Google ста*ли появ*лять*ся первые мас*совые жалобы на взлом акка*унтов YouTube Link hidden, please Sign inor Sing up, Link hidden, please Sign in or Sing up, Link hidden, please Sign in or Sing up, Link hidden, please Sign in or Sing up, Link hidden, please Sign in or Sing up. При*чем от взло*мов стра*дали даже те акка*унты, вла*дель*цы которых поль*зовались двух*фактор*ной аутен*тифика*цией.
Хакеры активно исполь*зовали в сво*их ата*ках фишин*говые пись*ма, а так*же соци*аль*ную инже*нерию: спе*циаль*ные стра*ницы фей*кового ПО и учет*ные записи в соци*аль*ных сетях.
Целью хакеров было зараже*ние машин юту*беров мал*варью для кра*жи информа*ции, которая выбира*лась в зависи*мос*ти от пред*почте*ний каж*дого отдель*ного члена группировки. В этих ата*ках были задей*ство*ваны такие вре*донос*ные прог*раммы, как RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad и Kantal, а так*же опен*сор*сные решения (Link hidden, please Sign inor Sing up) и мал*варь, чей исходный код ранее утек в сеть (Link hidden, please Sign in or Sing up).
Ког*да тот или иной вре*донос про*никал на машину жер*твы, он исполь*зовал*ся для кра*жи учет*ных дан*ных и фай*лов cookie бра*узе*ра, что в ито*ге поз*воляло хакерам зах*ватывать учет*ные записи, про*водя ата*ки типа pass-the-cookie.
Как пра*вило, заг*рузить мал*варь юту*беров вынуж*дали в нес*коль*ко эта*пов, начиная обще*ние с пред*ложения о сот*рудни*чес*тве или кол*лабора*ции. К при*меру, участники группировки свя*зыва*лись с жер*тва*ми и про*сили их уста*новить и про*тес*тировать раз*личные при*ложе*ния, а затем опуб*ликовать на них отзыв или обзор. При*ложе*ния, обыч*но исполь*зуемые в этих схе*мах, вклю*чали анти*вирус*ное ПО, кли*енты VPN, музыкаль*ные пле*еры, фоторе*дак*торы, опти*миза*торы ПК или онлайн‑игры. Внут*ри таких при*ложе*ний, конеч*но, скры*валась мал*варь.
При*мер пись*ма‑при*ман*киGoogle активно обна*ружи*вал и бло*киро*вал фишин*говые ссыл*ки хакеров, отправ*ляемые через Gmail, поэто*му зло*умыш*ленни*ки приг*лашали жертв про*дол*жить обще*ние в при*ложе*ниях для обме*на сооб*щени*ями, таких как WhatsApp, Telegram или Discord.
Пос*ле того как цель сог*лашалась на сдел*ку, ей давали ссыл*ку на стра*ницу с мал*варью, замас*кирован*ную под URL-адрес для заг*рузки ПО. Ссыл*ка отправ*лялась в пись*ме, в фор*мате PDF на Google Drive, а в некото*рых слу*чаях исполь*зовались докумен*ты Google Docs, содер*жащие фишин*говые ссыл*ки.
Было выявлено 1011 доменов, свя*зан*ных с эти*ми ата*ками, и при*мер*но 15 000 учет*ных записей, которые хакеры спе*циаль*но соз*дали для дан*ной кам*пании. Такие акка*унты исполь*зовались для отправ*ки фишин*говых писем, содер*жащих вре*донос*ные ссыл*ки.
Ском*про*мети*рован*ные опи*сан*ным спо*собом акка*унты и YouTube-каналы хакеры, как пра*вило, выс*тавля*ли на про*дажу. К при*меру, еще пару лет назад мы отсле*дили укра*ден*ную учет*ную запись Link hidden, please Sign inor Sing up, гей*мера из США, которая была угна*на и вско*ре появи*лась в про*даже на рус*ско*языч*ном сай*те Trade Groups.
Ос*нован*ный в 2014 году, этот сайт заяв*ляет, что пред*став*ляет собой прос*той мар*кет*плейс, подоб*но Amazon, где любой жела*ющий может зарегис*три*ровать*ся, а затем выс*тавить на про*дажу свои груп*пы и учет*ные записи в соци*аль*ных сетях. Хотя ресурс очень ста*рает*ся выг*лядеть легаль*ным, однако, каждый день на нем выставляются сотни объявлений о продаже ворованных аккаунтов. Сто*ит отме*тить, что Trade Groups работа*ет до сих пор и по‑преж*нему пред*лага*ет такой же кон*тент.
Упо*мяну*тый выше MarcoStyle сооб*щил, что перед взло*мом к нему обра*тились с пред*ложени*ем про*тес*тировать новый инс*тру*мент опти*миза*ции игр под наз*вани*ем Orio и сде*лать его обзор.
«Как толь*ко я уста*новил его, я понял, что что‑то не так. Я знал, что у меня вклю*чена 2ФА, но все рав*но потерял дос*туп к учет*ной записи. Человек, который прис*лал мне пись*мо, так и не отве*тил, а через нес*коль*ко дней кто‑то сооб*щил мне, что моя учет*ная запись про*дает*ся в интерне*те», — рас*ска*зывал MarcoStyle в 2019 году.
Как использовались аккаунты в дальнейшем
Мы наб*людали, что про*исхо*дило с укра*ден*ными акка*унта*ми на про*тяже*нии пос*леду*ющих лет. Как ока*залось, мно*гие покупа*тели ворован*ных акка*унтов прек*расно понима*ли, что за товар им дос*тался, и осоз*навали, что в течение нес*коль*ких дней или недель учет*ная может вер*нуться к сво*ему нас*тояще*му хозя*ину. Поэто*му мошен*ники стре*мились монети*зиро*вать такие акка*унты быс*тро. К при*меру, мно*гие учет*ные записи исполь*зовались для раз*мещения корот*ких стри*мов, чаще все*го свя*зан*ных с крип*товалют*ным мошен*ничес*твом.
Наз*вание канала, изоб*ражение про*филя и кон*тент заменя*лись брен*дом крип*товалю*ты, что*бы выдать [канал] за круп*ную фир*му или крип*товалют*ную бир*жу. Зло*умыш*ленник тран*сли*ровал видео в пря*мом эфи*ре, обе*щая раз*дачу крип*товалю*ты в обмен на пер*воначаль*ный взнос
Мы видели, как похищен*ные учет*ные записи пере*име*новы*вались в офи*циаль*ные акка*унты Бил*ла Гей*лса, Ило*на Мас*ка или Линуса Тор*валь*дса, и все они в ито*ге прод*вигали раз*личное мошен*ничес*тво и крип*товалют*ные схе*мы Пон*ци.
Обыч*но, показы*вая ролики, в которых зна*мени*тос*ти обсужда*ют крип*товалю*ты и свя*зан*ные с блок*чей*ном темы (как пра*вило, это записи каких‑то ста*рых интервью и выс*тупле*ний), мошен*ники про*сят зри*телей прис*лать им неболь*шое количес*тво крип*товалю*ты, обе*щая удво*ить и вер*нуть любую получен*ную сум*му.
Отметим, что подоб*ные мошен*ничес*кие схе*мы исправ*но при*носят хакерам хорошую при*быль. Хотя годы идут и у мно*гих извес*тных людей в про*филях дав*но появи*лись не толь*ко галоч*ки верифи*кации акка*унтов, но и нед*вусмыс*ленные при*пис*ки в духе «Не раз*даю крип*товалю*ту!», мно*жес*тво поль*зовате*лей по‑преж*нему верит в такие фей*ки и полага*ет, что Илон Маск, братья Уинк*лвосс, Билл Гей*тс и дру*гие извес*тные лич*ности дей*стви*тель*но могут раз*давать «лиш*ние» бит*кой*ны всем жела*ющим.
Нап*ример, в 2018 году такая афе*ра в Twitter при*нес*ла мошен*никам бо*лее 180 000 дол*ларов все*го за один день, а в начале 2021 года мошен*ники, выдавав*шие себя за Ило*на Мас*ка, «зарабо*тали» на довер*чивых поль*зовате*лях бо*лее 580 000 дол*ларов за неделю.
Си*туация с подоб*ными фей*ками порой доходит до абсурда. YouTube не прос*то пас*сивно допус*кает раз*мещение подоб*ных видео. Более того, рекомен*датель*ные алго*рит*мы YouTube прод*вига*ют подоб*ные ролики сре*ди крип*товалют*ных энту*зиас*тов и в дан*ные видео встра*ива*лась рек*лама, то есть плат*форма получа*ла пря*мую при*быль от мошен*ничес*ких видео.
Однако, угнанные каналы могут исполь*зовать*ся для дру*гих целей. К при*меру, еще в 2020 году было обна*ружено, что в дар*кне*те рас*тет инте*рес к учет*ным дан*ным от YouTube-каналов. Так как YouTube пре*дос*тавля*ет киберпреступникам новую ауди*торию, ее мож*но монети*зиро*вать самыми раз*ными спо*соба*ми, от мошен*ничес*тва до рек*ламы. В редких случаях у вла*дель*цев укра*ден*ных каналов вымога*ли выкуп, угро*жая в слу*чае неоп*латы поп*росту про*дать канал.
Мно*гие юту*беры ста*ли жер*тва*ми хорошо ско*орди*ниро*ван*ных фишин*говых атак, где глав*ной целью хакеров был угон чужих YouTube-каналов и финан*совая выгода. Про*исхо*дило это два года назад, но в Google пре*дали инци*дент огласке толь*ко сей*час. Давай прой*дем*ся по изло*жен*ным в отче*те ком*пании фак*там и раз*берем*ся, что имен*но про*исхо*дило.
Эта информация будет крайне полезной, т.к. с технической точки зрения ничего не изменилось. Подобные атаки можно легко провернуть и сегодня
Методы кражи аккаунтовДва года назад мно*жес*тво юту*беров ста*ли жер*тва*ми хорошо ско*орди*ниро*ван*ных фишин*говых атак, где глав*ной целью хакеров был угон чужих YouTube-каналов и финан*совая выгода. За эти*ми ата*ками сто*яло нес*коль*ко лиц, которых орга*низа*торы схе*мы нанима*ли через объ*явле*ния о вакан*сиях на рус*ско*языч*ных хак‑форумах.
Таким образом ребята искали пар*тне*ров для про*веде*ния фишин*говых атак и атак с исполь*зовани*ем соци*аль*ной инже*нерии. Сог*ласно серии таких рек*ламных объ*явле*ний, пар*тне*рам груп*пиров*ки пред*лагалось получить 25% или 75% от доходов с укра*ден*ного акка*унта, в зависи*мос*ти от уров*ня их учас*тия и слож*ности фишин*га. Акка*унты обыч*но выс*тавля*лись на про*дажу по цене от 20 до 10 000 дол*ларов США.
Еще в 2019 году на форумах под*дер*жки Google ста*ли появ*лять*ся первые мас*совые жалобы на взлом акка*унтов YouTube Link hidden, please Sign in
Хакеры активно исполь*зовали в сво*их ата*ках фишин*говые пись*ма, а так*же соци*аль*ную инже*нерию: спе*циаль*ные стра*ницы фей*кового ПО и учет*ные записи в соци*аль*ных сетях.
Целью хакеров было зараже*ние машин юту*беров мал*варью для кра*жи информа*ции, которая выбира*лась в зависи*мос*ти от пред*почте*ний каж*дого отдель*ного члена группировки. В этих ата*ках были задей*ство*ваны такие вре*донос*ные прог*раммы, как RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad и Kantal, а так*же опен*сор*сные решения (Link hidden, please Sign in
Ког*да тот или иной вре*донос про*никал на машину жер*твы, он исполь*зовал*ся для кра*жи учет*ных дан*ных и фай*лов cookie бра*узе*ра, что в ито*ге поз*воляло хакерам зах*ватывать учет*ные записи, про*водя ата*ки типа pass-the-cookie.
Как пра*вило, заг*рузить мал*варь юту*беров вынуж*дали в нес*коль*ко эта*пов, начиная обще*ние с пред*ложения о сот*рудни*чес*тве или кол*лабора*ции. К при*меру, участники группировки свя*зыва*лись с жер*тва*ми и про*сили их уста*новить и про*тес*тировать раз*личные при*ложе*ния, а затем опуб*ликовать на них отзыв или обзор. При*ложе*ния, обыч*но исполь*зуемые в этих схе*мах, вклю*чали анти*вирус*ное ПО, кли*енты VPN, музыкаль*ные пле*еры, фоторе*дак*торы, опти*миза*торы ПК или онлайн‑игры. Внут*ри таких при*ложе*ний, конеч*но, скры*валась мал*варь.
При*мер пись*ма‑при*ман*киGoogle активно обна*ружи*вал и бло*киро*вал фишин*говые ссыл*ки хакеров, отправ*ляемые через Gmail, поэто*му зло*умыш*ленни*ки приг*лашали жертв про*дол*жить обще*ние в при*ложе*ниях для обме*на сооб*щени*ями, таких как WhatsApp, Telegram или Discord.
Пос*ле того как цель сог*лашалась на сдел*ку, ей давали ссыл*ку на стра*ницу с мал*варью, замас*кирован*ную под URL-адрес для заг*рузки ПО. Ссыл*ка отправ*лялась в пись*ме, в фор*мате PDF на Google Drive, а в некото*рых слу*чаях исполь*зовались докумен*ты Google Docs, содер*жащие фишин*говые ссыл*ки.
Было выявлено 1011 доменов, свя*зан*ных с эти*ми ата*ками, и при*мер*но 15 000 учет*ных записей, которые хакеры спе*циаль*но соз*дали для дан*ной кам*пании. Такие акка*унты исполь*зовались для отправ*ки фишин*говых писем, содер*жащих вре*донос*ные ссыл*ки.
Ском*про*мети*рован*ные опи*сан*ным спо*собом акка*унты и YouTube-каналы хакеры, как пра*вило, выс*тавля*ли на про*дажу. К при*меру, еще пару лет назад мы отсле*дили укра*ден*ную учет*ную запись Link hidden, please Sign in
Ос*нован*ный в 2014 году, этот сайт заяв*ляет, что пред*став*ляет собой прос*той мар*кет*плейс, подоб*но Amazon, где любой жела*ющий может зарегис*три*ровать*ся, а затем выс*тавить на про*дажу свои груп*пы и учет*ные записи в соци*аль*ных сетях. Хотя ресурс очень ста*рает*ся выг*лядеть легаль*ным, однако, каждый день на нем выставляются сотни объявлений о продаже ворованных аккаунтов. Сто*ит отме*тить, что Trade Groups работа*ет до сих пор и по‑преж*нему пред*лага*ет такой же кон*тент.
Упо*мяну*тый выше MarcoStyle сооб*щил, что перед взло*мом к нему обра*тились с пред*ложени*ем про*тес*тировать новый инс*тру*мент опти*миза*ции игр под наз*вани*ем Orio и сде*лать его обзор.
«Как толь*ко я уста*новил его, я понял, что что‑то не так. Я знал, что у меня вклю*чена 2ФА, но все рав*но потерял дос*туп к учет*ной записи. Человек, который прис*лал мне пись*мо, так и не отве*тил, а через нес*коль*ко дней кто‑то сооб*щил мне, что моя учет*ная запись про*дает*ся в интерне*те», — рас*ска*зывал MarcoStyle в 2019 году.
Как использовались аккаунты в дальнейшем
Мы наб*людали, что про*исхо*дило с укра*ден*ными акка*унта*ми на про*тяже*нии пос*леду*ющих лет. Как ока*залось, мно*гие покупа*тели ворован*ных акка*унтов прек*расно понима*ли, что за товар им дос*тался, и осоз*навали, что в течение нес*коль*ких дней или недель учет*ная может вер*нуться к сво*ему нас*тояще*му хозя*ину. Поэто*му мошен*ники стре*мились монети*зиро*вать такие акка*унты быс*тро. К при*меру, мно*гие учет*ные записи исполь*зовались для раз*мещения корот*ких стри*мов, чаще все*го свя*зан*ных с крип*товалют*ным мошен*ничес*твом.
Наз*вание канала, изоб*ражение про*филя и кон*тент заменя*лись брен*дом крип*товалю*ты, что*бы выдать [канал] за круп*ную фир*му или крип*товалют*ную бир*жу. Зло*умыш*ленник тран*сли*ровал видео в пря*мом эфи*ре, обе*щая раз*дачу крип*товалю*ты в обмен на пер*воначаль*ный взнос
Мы видели, как похищен*ные учет*ные записи пере*име*новы*вались в офи*циаль*ные акка*унты Бил*ла Гей*лса, Ило*на Мас*ка или Линуса Тор*валь*дса, и все они в ито*ге прод*вигали раз*личное мошен*ничес*тво и крип*товалют*ные схе*мы Пон*ци.
Обыч*но, показы*вая ролики, в которых зна*мени*тос*ти обсужда*ют крип*товалю*ты и свя*зан*ные с блок*чей*ном темы (как пра*вило, это записи каких‑то ста*рых интервью и выс*тупле*ний), мошен*ники про*сят зри*телей прис*лать им неболь*шое количес*тво крип*товалю*ты, обе*щая удво*ить и вер*нуть любую получен*ную сум*му.
Отметим, что подоб*ные мошен*ничес*кие схе*мы исправ*но при*носят хакерам хорошую при*быль. Хотя годы идут и у мно*гих извес*тных людей в про*филях дав*но появи*лись не толь*ко галоч*ки верифи*кации акка*унтов, но и нед*вусмыс*ленные при*пис*ки в духе «Не раз*даю крип*товалю*ту!», мно*жес*тво поль*зовате*лей по‑преж*нему верит в такие фей*ки и полага*ет, что Илон Маск, братья Уинк*лвосс, Билл Гей*тс и дру*гие извес*тные лич*ности дей*стви*тель*но могут раз*давать «лиш*ние» бит*кой*ны всем жела*ющим.
Нап*ример, в 2018 году такая афе*ра в Twitter при*нес*ла мошен*никам бо*лее 180 000 дол*ларов все*го за один день, а в начале 2021 года мошен*ники, выдавав*шие себя за Ило*на Мас*ка, «зарабо*тали» на довер*чивых поль*зовате*лях бо*лее 580 000 дол*ларов за неделю.
Си*туация с подоб*ными фей*ками порой доходит до абсурда. YouTube не прос*то пас*сивно допус*кает раз*мещение подоб*ных видео. Более того, рекомен*датель*ные алго*рит*мы YouTube прод*вига*ют подоб*ные ролики сре*ди крип*товалют*ных энту*зиас*тов и в дан*ные видео встра*ива*лась рек*лама, то есть плат*форма получа*ла пря*мую при*быль от мошен*ничес*ких видео.
Однако, угнанные каналы могут исполь*зовать*ся для дру*гих целей. К при*меру, еще в 2020 году было обна*ружено, что в дар*кне*те рас*тет инте*рес к учет*ным дан*ным от YouTube-каналов. Так как YouTube пре*дос*тавля*ет киберпреступникам новую ауди*торию, ее мож*но монети*зиро*вать самыми раз*ными спо*соба*ми, от мошен*ничес*тва до рек*ламы. В редких случаях у вла*дель*цев укра*ден*ных каналов вымога*ли выкуп, угро*жая в слу*чае неоп*латы поп*росту про*дать канал.