Google、YouTubeユーザーを標的とした2年前のフィッシング&マルウェア攻撃の正体を暴露:ソフトのレビューを依頼して攻撃していた

news

二要素認証を有効にしていても、YouTubeのアカウントが乗っ取られるという事件が発生してから約2年、Googleのセキュリティチームはついにこの攻撃の根本原因を突き止めたと発表しました

Phishing campaign targets YouTube creators with cookie theft malware
Google’s Threat Analysis Group tracks actors involved in disinformation campaigns, government backed hacking, and financ...
blog.google

GoogleのThreat Analysis Groupは、偽情報キャンペーン、政府に支援されたハッキング、金銭的な動機による不正使用に関わるグループを追跡しています。2019年後半から、私たちのチームはCookie TheftマルウェアでYouTuberを狙う金銭的動機のフィッシングキャンペーンを中断させています。

このキャンペーンの背後にいるグループは、ロシア語圏のフォーラムで募集されたハッカーのグループであると考えていますが、偽のコラボレーションの依頼(一般的には、アンチウイルスソフトウェア、VPN、音楽プレーヤー、写真編集、オンラインゲームのデモ)でターゲットを誘い、チャンネルを乗っ取り、最高額入札者に売却するか、暗号通貨詐欺の放送に使用します。

Google Threat Analysis Group(TAG)が発表したレポートの中で、この事件の原因は「ロシア語圏のフォーラムで募集されたハッカーグループ」であるとしています。

TAGによると、ハッカーたちは電子メールで被害者にさまざまな種類のビジネスチャンスを持ちかけて活動していました。

Youtuberは、スポンサー契約の謳い文句で誘われるのが一般的だったようで被害者はさまざまなアプリケーションをインストールしてテストし、そのレビューを公開するよう求められました。

一般的には、ウイルス対策ソフト、VPNクライアント、音楽プレーヤー、写真編集ソフト、PC最適化ソフト、オンラインゲームなどが利用されていました。

しかし、ハッカーたちはそのレビューアプリの中にマルウェアを隠していたようです。

YouTubeクリエイターがデモアプリを受け取ってインストールすると、インストーラーがデバイスにマルウェアを投下。

このマルウェアは、Youtuberのブラウザからログイン認証情報や認証クッキーを抽出し、盗んだデータをリモートサーバーに送信していました。

その後、ハッカーは認証クッキーを利用して、2要素認証(2FA)トークンを入力する必要のないYouTuberのアカウントにアクセスし、パスワードの変更やアカウントの復旧用電子メールおよび電話番号の変更を行います。

被害者がアカウントからロックアウトされると、ハッカーたちは一般的には乗っ取ったYouTubeチャンネルを、盗んだIDを扱うアンダグランドマーケットで販売します。

例えば、MarcoStyleはOrioという新しいゲーム最適化ツールをテストしてレビューするというオファーを受けたとのことでした。

Brad Garlinghouse
I upload videos sometimes
www.youtube.com

インストールしてすぐに、何かが間違っていると思いました。

2FAをオンにしていたのは知っていたが、それでもアカウントへのアクセスができなくなりました

メールをくれた人は返事をくれず、数日後に誰かがアカウントがオンラインで売られていると教えてくれました

ほとんどのアカウントが元の所有者に戻った

これらのアカウントがどのように悪用されたかについても追跡調査を行った際、一部のアカウントは永久的にブランドを変更し、新しいオーナーになっていましたが、Trade Groupsに掲載されたアカウントのほとんどは、元のオーナーの手に戻ることができたようです

チャンネル名、プロフィール画像、コンテンツのすべてが暗号通貨のブランド名に置き換えられ、大規模なテクノロジー企業や暗号通貨取引所の企業になりすましていました。

攻撃者は、最初の寄付と引き換えに暗号通貨のプレゼントを約束する動画をライブストリーミングで配信していました

アカウントがビル・ゲイツ、イーロン・マスク、リーナス・トーバルズのアイデンティティで再ブランド化され、いずれもある種の暗号通貨のねずみ講を宣伝していたようです。

Googleは、このグループが被害者との連絡に使用した15,000以上のメールアカウントと、マルウェアに感染したアプリをホストしていた1,011のウェブサイトを確認したと発表しました。

ウェブサイトの中には、「Luminar」や「Cisco VPN」「Steam」のゲームなど正規のソフトウェアサイトを装ったものやオンラインテンプレートを使って生成されたものもありました。

ハッカーが一般的に使用していたマルウェアには、RedLine、Vidar、Predator The Thief、Nexus stealer、Azorult、Raccoon、Grand Stealer、Vikro Stealer、Masad、Kantalなど、アンダーグラウンドのハッキングフォーラムで販売されている情報搾取系のものが含まれていました。

また、AdamantiumThiefやSoranoなど、GitHubで公開されているオープンソースのマルウェアも一部の攻撃で使用されていたとのことです。

このグループによってハッキングされた4,000以上のYouTubeクリエイターのアカウントを、現在までにGoogleが復元したと述べています。

これらの攻撃の背後に誰がいるのかについてはFBIの管轄であり、FBIにも通知したと述べています。

またGoogleによると、この攻撃の背後にいるグループがフィッシングやソーシャルエンジニアリングの攻撃を行うパートナーを募集していたフォーラムも確認できたとしています。

一連の広告によると、パートナーには関与の度合いやフィッシングの複雑さに応じて、盗まれたアカウントの再販価格の25%または75%のカットが提示されていました。

Trade Groupsに掲載されている価格によると、同サイトで販売されたアカウントは通常、20ドルから1万ドルの範囲で取引されていたようです。

Googleは、今回の攻撃を受けGmailのセキュリティ対策を強化し、ブラウザのセーフブラウジングシステムにも統合したと述べています。

Comments

Copied title and URL