Une gigantesque campagne de malware tente depuis à coup sûr fin 2019 de prendre le contrôle des canaux d’auteurs de vidéo sur YouTube, afin de propager ainsi des ‘crypto-scams’.
Chez Google, on affirme que les auteurs de vidéo sur YouTube sont toujours plus souvent la cible de cyber-bandes. Ces dernières tenteraient par hameçonnage de dérober des mots de passe, afin d’utiliser les canaux des auteurs de vidéo pour diffuser des ‘crypto-scams’ (arnaques).
Cette révélation émane du Threat Analysis Group de Google, qui découvrit fin 2019 les premières formes de la campagne sur des forums russes. Dans son rapport, Google passe la méthodologie au crible. La campagne débute par du hameçonnage (‘phishing’): l’auteur de vidéo reçoit des mails qui lui présentent par exemple des accords de sponsoring pour un service VPN. En téléchargeant le produit, l’influenceur voit cependant affluer toute une série de maliciels.
En tout, plus de mille domaines seraient liés aux attaques avec quelque 15.000 comptes créés spécifiquement pour la campagne. Ces domaines se présentent en tant que Cisco, d’auteurs de Steam Games ou d’entreprises de médias.
Vérification à deux facteurs
Autre point étonnant: le malware dérobe non seulement des mots de passe, mais aussi des ‘session cookies’ nécessaires pour la vérification à deux facteurs, afin qu’une personne mal intentionnée puisse prendre le contrôle du compte du YouTuber. Tout cela va de pair avec la percée de la vérification à deux facteurs, selon Ashley Shen, TAG security engineer, dans un message posté sur son blog: ‘La plupart des maliciels que nous avons trouvés, étaient capables de dérober tant des mots de passe que des cookies. Quelques-uns recouraient à différentes techniques pour contourner les bacs à sable, dont de volumineux fichiers, des archives cryptées et la dissimulation de ‘download IP’.’
Une grande partie de ces canaux, dont on a pris le contrôle, a été utilisée pour toutes sortes de crypto-campagnes frauduleuses, durant lesquelles des crypto-monnaies furent ‘distribuées’ par exemple. D’autres furent vendues au marché noir.
En soi, ce n’est pas la première fois que le hameçonnage est utilisé pour tenter de prendre le contrôle de comptes ou de canaux. L’année dernière, on l’avait par exemple encore observé avec le piratage de divers comptes Twittter de personnalités, qui se mirent ensuite à propager des crypto-scams. La campagne sur YouTube est cependant particulièrement vaste et de longue durée. Selon Google même, ses équipes de sécurité sont entre-temps activement occupées à contrer ces arnaques. Quelque 99,6% des mails d’hameçonnage sur Gmail liés à ce type d’attaque auraient toutefois été contrés depuis le mois de mai de cette année.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici