Um novo relatório compartilhado pelo Threat Analysis Group (TAG) do Google, destaca uma campanha de phishing em andamento contra os criadores do YouTube, normalmente resultando no comprometimento e venda de canais para transmissão de golpes de criptomoedas.
O TAG atribui os ataques a um grupo de hackers recrutados em um fórum de língua russa que invade o canal do criador, oferecendo falsas oportunidades de colaboração. Uma vez sequestrados, os canais do YouTube são vendidos para quem der o lance mais alto ou usados para transmitir golpes de criptomoedas:
“Um grande número de canais hackeados foram renomeados para transmissão ao vivo de fraude de criptomoedas. Nos mercados de negociação de contas, os canais sequestrados variaram de US$3 a US$4.000, dependendo do número de assinantes.”
As contas do YouTube estão sendo hackeadas com o uso de malware para roubo de cookies, um software falso configurado para ser executado no computador da vítima sem ser detectado. A TAG também relatou que os hackers também mudaram os nomes, fotos de perfil e conteúdo dos canais do YouTube para se passar por grandes empresas de tecnologia ou criptomoedas.
De acordo com o Google, “o invasor transmitiu vídeos ao vivo prometendo ofertas de criptomoedas em troca de uma contribuição inicial”. A empresa investiu em ferramentas para detectar e bloquear e-mails de phishing e engenharia social, roubo de cookies e transmissões ao vivo como medida preventiva.
Dados os esforços contínuos, o Google conseguiu diminuir o volume de e-mails de phishing do Gmail em 99,6% desde maio de 2021. A empresa disse:
“Com o aumento dos esforços de detecção, observamos os invasores mudando do Gmail para outros provedores de e-mail (principalmente email.cz, seznam. cz, post.cz e aol.com).”
O Google compartilhou as descobertas acima com o Federal Bureau of Investigation (FBI) dos Estados Unidos para uma investigação mais aprofundada.
Mais de 3,1 milhões (3.117.548) de endereços de e-mail de usuários vazaram de um site de rastreamento de preços de criptomoedas, chamado CoinMarketCap.
De acordo com um relatório, um site dedicado a rastrear hacks online encontrou os endereços de e-mail hackeados sendo negociados e vendidos online em vários fóruns de hackers.
CoinMarketCap reconheceu a correlação dos dados vazados com sua base de usuários, mas afirma que nenhuma evidência de hack foi encontrada em seus servidores internos:
“Como nenhuma senha foi incluída nos dados que vimos, acreditamos que provavelmente seja proveniente de outra plataforma onde os usuários podem ter reutilizado as senhas em vários sites.”