Desde al menos finales de 2019, una red de hackers a sueldo ha estado secuestrando los canales de los creadores de YouTube, atrayéndolos con falsas oportunidades de colaboración para difundir estafas de criptomonedas o vender las cuentas al mejor postor.
Así lo indica un nuevo informe publicado por el Grupo de Análisis de Amenazas (TAG) de Google, que afirma haber desbaratado campañas de phishing con motivación financiera dirigidas a la plataforma de vídeo con malware de robo de cookies. Los actores detrás de la infiltración han sido atribuidos a un grupo de hackers reclutados en un foro de habla rusa.
«El robo de cookies, también conocido como ‘ataque pass-the-cookie’, es una técnica de secuestro de sesión que permite acceder a las cuentas de los usuarios con las cookies de sesión almacenadas en el navegador», dijo Ashley Shen de TAG. «Aunque esta técnica existe desde hace décadas, su resurgimiento como principal riesgo de seguridad podría deberse a una mayor adopción de la autenticación multifactor (MFA), que dificulta el abuso, y a que los atacantes se centran en tácticas de ingeniería social.»
Desde mayo, el gigante de Internet ha bloqueado 1,6 millones de mensajes y ha restaurado casi 4.000 cuentas de influencers de YouTube afectadas por la campaña de ingeniería social, y algunos de los canales secuestrados se han vendido por entre 3 y 4.000 dólares en los mercados de intercambio de cuentas, dependiendo del número de suscriptores.

Otros canales, por el contrario, fueron rebautizados para estafas de criptomonedas en las que el adversario transmitía en directo vídeos que prometían regalos de criptomonedas a cambio de una contribución inicial, no sin antes alterar el nombre, la imagen de perfil y el contenido del canal para suplantar a grandes empresas tecnológicas o de intercambio de criptomonedas.
Los ataques consistían en enviar a los propietarios de los canales un enlace malicioso bajo el pretexto de colaboraciones publicitarias en vídeo para software antivirus, clientes VPN, reproductores de música, aplicaciones de edición de fotos o juegos en línea que, al hacer clic, redirigían al destinatario a un sitio de aterrizaje de malware, algunos de los cuales se hacían pasar por sitios de software legítimos, como Luminar y Cisco VPN, o se hacían pasar por medios de comunicación centrados en COVID-19.
Google dijo que encontró no menos de 15.000 cuentas detrás de los mensajes de phishing y 1.011 dominios que fueron creados a propósito para entregar el software fraudulento responsable de ejecutar el malware de robo de cookies diseñado para extraer las contraseñas y las cookies de autenticación de la máquina de la víctima y subirlas a los servidores de comando y control del actor.
A continuación, los hackers utilizaban las cookies de sesión para tomar el control de la cuenta de un creador de YouTube, eludiendo de forma efectiva la autenticación de dos factores (2FA), además de tomar medidas para cambiar las contraseñas y los números de teléfono y correo electrónico de recuperación de la cuenta.
Tras la intervención de Google, se ha observado que los autores han llevado a los objetivos a aplicaciones de mensajería como WhatsApp, Telegram y Discord en un intento de eludir las protecciones contra el phishing de Gmail, por no mencionar la transición a otros proveedores de correo electrónico como aol.com, email.cz, seznam.cz y post.cz. Se recomienda encarecidamente a los usuarios que protejan sus cuentas con la autenticación de dos factores para evitar estos ataques de suplantación.