Google เตือน YouTuber บัญชีผู้ใช้อาจถูก hijack ด้วยมัลแวร์ขโมย Cookie

Google แจ้งว่าเจ้าของบัญชี YouTube ต่างๆ อาจตกเป็นเป้าหมายของมัลแวร์ขโมยรหัสผ่านในการโจมตีแบบ Phishing โดยนักวิจัยจากกลุ่มการวิเคราะห์ภัยคุกคาม (TAG) ของ Google ตรวจพบแคมเปญนี้ครั้งแรกเมื่อปลายปี 2019

ผู้โจมตีใช้วิธีการ Social Engineering และอีเมล Phishing ในการหลอกให้ผู้ใช้งาน Youtube ติดตั้งมัลแวร์เพื่อขโมยข้อมูล

Channels ที่โดนโจมตีแบบ Pass-the-cookie

มัลแวร์ที่ถูกพบว่าใช้ในการโจมตีด้วย เช่น RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad และ Kantal รวมถึง Open-source เช่น AdamantiumThief และ Sorano

เมื่อมัลแวร์เข้าไปยังระบบของเป้าหมายแล้ว มัลแวร์จะถูกใช้เพื่อขโมย Credentials และคุกกี้ของเบราว์เซอร์ ซึ่งจะทำให้ให้ผู้โจมตีเข้าใช้บัญชีของเหยื่อได้จากการ pass-the-cookie แม้ว่าเทคนิคนี้มีมานานแล้ว แต่การกลับมาของเทคนิคนี้อาจเกิดจากการใช้งาน Multi-factor authentication (MFA) ที่มากขึ้น ทำให้ยากต่อการขโมยข้อมูลโดยตรง มัลแวร์ที่ตรวจพบส่วนใหญ่สามารถขโมยทั้งรหัสผ่าน และคุกกี้ของผู้ใช้งานได้

Google ระบุโดเมนอย่างน้อย 1,011 โดเมนที่เชื่อมโยงกับการโจมตีเหล่านี้ และบัญชีประมาณ 15,000 บัญชีที่สร้างขึ้นโดยเฉพาะสำหรับแคมเปญนี้ และใช้เพื่อส่งอีเมล Phishing ที่มีลิงก์ที่สามารถเปลี่ยนเส้นทางไปยังหน้า Landing Page ของมัลแวร์ ทำการส่งไปยังอีเมลของเจ้าของบัญชี YouTube

ช่อง YouTube จำนวนมากที่โดนการโจมตี ถูกเปลี่ยนชื่อในภายหลังเพื่อแอบอ้างเป็นผู้บริหารระดับสูงด้านเทคโนโลยี หรือบริษัทแลกเปลี่ยนสกุลเงินดิจิทัล ส่วนอื่นๆ ถูกขายในตลาดซื้อขายบัญชีใต้ดิน ซึ่งมีมูลค่าระหว่าง 3 ถึง 4,000 ดอลลาร์ ขึ้นอยู่กับจำนวน Subscribers ของพวกเขา

Shen กล่าวเสริมว่า Threat Analysis Group ของ Google ลดอีเมล Phishing ที่เชื่อมโยงกับการโจมตีเหล่านี้ใน Gmail 99.6% ตั้งแต่เดือนพฤษภาคม 2021 ทำการบล็อกข้อความที่ส่งถึงเป้าหมาย 1.6 ล้านข้อความ แสดงคำเตือนหน้า Phishing ประมาณ 62K Safe Browsing บล็อกไฟล์ 2.4K และกู้คืนบัญชีประมาณ 4K ได้สำเร็จ ด้วยความพยายามในการตรวจจับที่เพิ่มขึ้น สังเกตเห็นว่าผู้โจมตีเปลี่ยนจาก Gmail ไปยังผู้ให้บริการอีเมลรายอื่น (ส่วนใหญ่เป็น email.cz, seznam.cz, post.cz และ aol.com)

ที่มา : bleepingcomputer