Waarom hackers zich richten op webservers met malware en hoe u die van u kunt beschermen Nu bekijken
Google heeft sinds mei 2021 1,6 miljoen phishing-e-mails geblokkeerd die deel uitmaakten van een malwarecampagne om YouTube-accounts te kapen en cryptocurrency-zwendel te promoten.
Volgens de Threat Analysis Group (TAG) van Google verstoort het sinds eind 2019 phishing-campagnes die worden uitgevoerd door een netwerk van Russische onderaannemers van hackers die YouTubers hebben getarget met “zeer aangepaste” phishing-e-mails en het stelen van cookies malware.
Het belangrijkste doel van de groep was om YouTube-accounts te kapen om oplichting live te streamen die gratis cryptocurrency aanbieden in ruil voor een eerste bijdrage. De andere belangrijkste inkomstenbron van de groep was de verkoop van gekaapte YouTube-kanalen van $ 3 tot $ 4.000, afhankelijk van het aantal abonnees dat een kanaal heeft.
ZIE: Deze nieuwe ransomware versleutelt uw gegevens en maakt ook enkele vervelende bedreigingen
In mei van dit jaar zegt Google dat het 1,6 miljoen berichten naar doelen heeft geblokkeerd, 62.000 Safe Browsing phishing-waarschuwingen heeft weergegeven en ongeveer 4.000 gekaapte accounts heeft hersteld.
De phishing-e-mails leverden malware die is ontworpen om sessiecookies van browsers te stelen. Hoewel de “pass-the-cookie”-aanval niet nieuw is, is het handig: het omzeilt multi-factor authenticatie (MFA) niet, maar werkt zelfs wanneer gebruikers MFA inschakelen voor een account omdat de sessiecookie wordt gestolen nadat de gebruiker heeft al geverifieerd met twee factoren, zoals een wachtwoord en een smartphone. Zodra de malware wordt uitgevoerd, wordt de cookie geüpload naar de servers van de aanvaller om de account te kapen.
“De heropleving als een van de grootste beveiligingsrisico's kan te wijten zijn aan een bredere acceptatie van multi-factor authenticatie (MFA), waardoor het moeilijk wordt om misbruik te plegen en de focus van de aanvaller te verschuiven naar social engineering-tactieken”, legt TAG-analist Ashley Shen uit.
Google schreef de campagne toe aan een groep 'hack-for-hire'-acteurs 'geworven in een Russisch sprekend forum'. De contractanten misleiden vervolgens doelen met nep-zakelijke kansen, zoals de kans om geld te verdienen met een demo voor antivirussoftware, VPN, muziekspelers, fotobewerkingssoftware of online games. Maar dan kapen de aanvallers het YouTube-kanaal en verkopen of gebruiken het om cryptocurrency-zwendel te livestreamen.
Het is gemakkelijk voor hackers om het e-mailadres van een doelwit te achterhalen, aangezien YouTubers deze vaak op hun kanaal plaatsen in de hoop op zakelijke kansen zoals de phishing-aanvallers die bieden.
ZIE: Dit is hoe Formule 1-teams cyberaanvallen afweren
“Zodra het doelwit akkoord ging met de deal, werd een malware-bestemmingspagina vermomd als een softwaredownload-URL verzonden via e-mail of een pdf op Google Drive, en in enkele gevallen Google-documenten met de phishing-links. Er werden ongeveer 15.000 actor-accounts geïdentificeerd, waarvan de meeste speciaal voor deze campagne zijn gemaakt”, merkt Shen op.
Google heeft ook 1.011 domeinen geïdentificeerd die zijn gemaakt voor het verzenden van malware. De domeinen imiteerden bekende technische sites, waaronder Luminar, Cisco VPN, games op Steam.
Shen merkt op dat deze aannemers de cookie-stelende malware in niet-permanente modus gebruiken om de kans te verkleinen dat beveiligingsproducten de gebruiker waarschuwen voor een eerder compromis.
Beveiliging
Hackers verbergen hun kwaadaardige JavaScript-code met een moeilijk te verslaan truc Deze nieuwe phishing-aanval bevat een bewapend Excel-bestand Heeft iemand anders stiekem toegang tot je iPhone of iPad? Supply chain-aanvallen zijn het nieuwe favoriete wapen van hackers Cybersecurity 101: bescherm uw privacy tegen hackers, spionnen, de overheid
gerelateerde onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 