Google a communiqué sur les techniques déployées par les hackers pour piéger des youyubeurs et sur les mesures mises en place pour les arrêter.
L'entreprise parle notamment d'une importante campagne de phishing en cours depuis 2019 et qui repose sur du social engineering pour contourner l'authentification multifacteur.
Des mots de passe et cookies volés
Depuis 2019, plusieurs youtubeurs sont visés par des campagnes de phishing dans le but de réaliser des attaques de type pass-the-cookie. C'est ce que Google a dévoilé dans un post de blog écrit par son groupe d'analyses des menaces (TAG). Les chercheurs de l'entreprise attribuent les attaques à plusieurs hackers recrutés sur un forum russe.
Avec l'émergence de l'authentification multifacteur, les attaquants sont repassés sur des techniques de social engineering afin de piéger les victimes. Ils visent les adresses mail professionnelles des youtubeurs, souvent publiques, avec des e-mails leur proposant des opportunités de collaboration pour des tests de produits comme des antivirus, des jeux vidéo ou des VPN. Les e-mails sont personnalisés, avec une petite présentation de l'entreprise fictive et une proposition commerciale. Quand la victime accepte le deal, elle reçoit par e-mail ou via un PDF sur Google Drive une URL pour télécharger le logiciel, qui cache en vérité un malware.
Une fois ce dernier présent sur l'ordinateur de la victime, il s'occupe de voler les mots de passe et cookies et de les envoyer sur le serveur distant des attaquants, qui peuvent par la suite prendre le contrôle des chaînes de leurs cibles. Avoir activé l'authentification double facteur sur son compte n'aide pas : grâce aux cookies d'authentification volés, ils arrivent à contourner la protection. Aucun des malwares utilisés n'était persistant, ce afin d'éviter la détection.
Une campagne de phishing importante
Google a détecté qu'au moins 1 011 domaines permettant aux attaquants de se faire passer pour des entreprises légitimes et 15 000 comptes mail ont été créés dans le cadre de cette campagne. La variété des malwares utilisés ainsi que la personnalisation des e-mails envoyés s'explique par le fait que l'attaque n'est pas le fait d'un groupe en particulier, mais de plusieurs hackers recrutés sur un forum russe, à qui étaient promis 25 à 70 % des revenus générés par le vol du compte, selon le niveau de sophistication de leur attaque.
L'entreprise a indiqué avoir mis en place plusieurs mesures de sécurité afin d'arrêter les tentatives de phishing, comme le Safe Browsing, de nouvelles règles pour les détecter et les bloquer automatiquement, et des mesures de sécurité plus fortes sur les comptes pour prévenir les utilisateurs à chaque action sensible. YouTube aurait également réussi à récupérer automatiquement 99 % des chaînes piratées, utilisées par les hackers pour réaliser des scams promettant des crypto-monnaies en échange d'une contribution initiale.
Google en profite pour donner des conseils aux youtubeurs, comme le fait de scanner les fichiers avant de les télécharger, de prendre au sérieux les avertissements de sécurité ou d'activer l'authentification double facteur, même si elle ne permet pas d'arrêter ces attaques en particulier. Elle deviendra de toute façon obligatoire pour certains d'entre eux d'ici la fin de l'année.
Source : Google