Google has blocked 1,6 million phishing emails since May 2021 as part of a malware campaign aimed at hacking YouTube accounts and promoting cryptocurrency fraud.
According to Threat Analysis Team (TAG από το Threat Analysis Group) της Google, που από τα τέλη του 2019 διακόπτει τις καμπάνιες ηλεκτρονικού “ψαρέματος” που διεξάγονται από ένα δίκτυο Ρώσων hacker και στοχεύουν τους YouTubers με “πολύ προσαρμοσμένα” μηνύματα ηλεκτρονικού “ψαρέματος” και κακόβουλο λογισμικό theftcookies.
The group's main goal was to breach YouTube accounts for displaying live-stream scams offering free cryptocurrencies in exchange for an initial contribution. The other main source of revenue for the group was the sale of channels YouTube from $ 3 to $ 4.000, depending on how many subscribers each channel has.
As of May 2021, Google reports that it has blocked 1,6 million targeted messages, displayed 62.000 Safe Browsing alerts, and repaired some 4.000 compromised accounts.
Fishing messages delivered malware designed to steal cookies from browsers.
Although the “pass-the-cookie” attack is not new, it is very effective: it does not bypass multi-factor authentication (MFA), but works even when the users ενεργοποιούν το MFA σε έναν account because the session cookie is intercepted after the user has already been authenticated twice, by a password and a smartphone for example.
Once the malware runs, the cookie uploads to the attacker's servers offering him the bill on the plate.
Google attributes the campaign to a hack-for-hire group recruited to a Russian-speaking forum.
Στη συνέχεια, οι hackers ξεγελούν τους στόχους με fake επιχειρηματικά email, όπως η ευκαιρία να δημιουργήσετε έσοδα από μια επίδειξη για λογισμικό προστασίας από ιούς, VPN, Appliances αναπαραγωγής μουσικής, λογισμικό επεξεργασίας φωτογραφιών ή διαδικτυακά παιχνίδια. Στη συνέχεια, όμως, οι επιτιθέμενοι κλέβουν το κανάλι YouTube και είτε το πουλούν είτε το χρησιμοποιούν για να μεταδώσουν live-stream scams κρυπτονομισμάτων.
Google also identified 1.011 domains created to deliver malware. The domains represented well-known technology sites, such as Luminar, Cisco VPN, and various games on Steam.
The company reports that hackers run malicious cookie theft software periodically to reduce the chance of being detected by security software.
