Los hackers de habla rusa han estado atrayendo a los influencers de YouTube para que realicen falsas colaboraciones pagadas con el fin de secuestrar sus cuentas.
Hackers tientan a influencers de YouTube con falsos acuerdos de colaboración para secuestrar sus cuentas
Según el Grupo de Análisis de Amenazas de Google, en los últimos seis meses ha bloqueado 1,6 millones de mensajes de suplantación de identidad que ofrecían dinero en efectivo a cambio de la promoción de productos, y ha restaurado casi 4.000 cuentas.
«Recientemente nuestra empresa ha creado un antivirus llamado pixprotect, pero poca gente en Estados Unidos lo conoce, para que más gente lo conozca necesitamos una buena publicidad», reza un mensaje.
«Usted tiene un canal con una buena visión de conjunto, y estaremos encantados de pedir un avance de 30 o 15 segundos. Podemos acordar un precio, pero dentro de lo normal».
Otros productos que se pidió a los influencers que avalaran son las VPN, los reproductores de música, la edición de fotos y los juegos online.
Una vez que el YouTuber aceptaba el trato, se enviaba una página de aterrizaje de malware disfrazada de URL de descarga de software por correo electrónico o un PDF en Google Drive y, en algunos casos, documentos de Google que contenían los enlaces de phishing.
Google ha identificado alrededor de 15.000 cuentas de actores, la mayoría de ellas, según dice, creadas específicamente para esta campaña.
«Los atacantes registraron varios dominios asociados con empresas falsificadas y construyeron múltiples sitios web para la entrega de malware. Hasta la fecha, hemos identificado al menos 1.011 dominios creados exclusivamente para este fin», afirma Ashley Shen, de Google.
«Algunos de los sitios web se hacían pasar por sitios de software legítimos, como Luminar, Cisco VPN, juegos en Steam, y algunos se generaron utilizando plantillas en línea. Durante la pandemia, también descubrimos atacantes que se hacían pasar por proveedores de noticias con un «software de noticias Covid-19«.
Los atacantes utilizaron el robo de cookies, una técnica de secuestro de sesión que permite acceder a las cuentas de los usuarios mediante las cookies de sesión almacenadas en el navegador. Los atacantes pudieron entonces hacerse con las cuentas de los influencers y venderlas o utilizarlas para estafas con criptomonedas.
Los atacantes utilizaron el robo de cookies, una técnica de secuestro de sesión que permite acceder a las cuentas de los usuarios utilizando las cookies de sesión almacenadas en el navegador. Los atacantes pudieron entonces hacerse con las cuentas de los influencers y venderlas o utilizarlas para estafas con criptomonedas.
«El nombre del canal, la foto del perfil y el contenido fueron sustituidos por la marca de criptomonedas para hacerse pasar por grandes empresas tecnológicas o de intercambio de las mismas. El atacante transmitía en directo vídeos en los que prometía regalos de criptomonedas a cambio de una contribución inicial», explica Chen.
«En los mercados de intercambio de cuentas, los canales secuestrados oscilaban entre 3 y 4.000 dólares, dependiendo del número de suscriptores».
Las campañas, dice Google, fueron llevadas a cabo por hablantes de ruso reclutados en foros con la promesa de hasta el 70% de los ingresos de los canales secuestrados.
Google dice que ha remitido la campaña al FBI para que la investigue.
LEA TAMBIÉN:
- ¿Cómo ganar dinero en YouTube?
- Google, Amazon y Facebook compran nuevas oficinas: ¿se acaba el trabajo inteligente?
