“Cookie窃取软件”恶意劫持YouTube创作者的帐户

谷歌威胁分析小组网络安全人员发现，一种Cookie盗窃恶意软件被用于对YouTube创作者的网络钓鱼攻击。

”钓鱼事件“起始于2019 年末，网络攻击这为了获取经济利益，使用Cookie Theft恶意软件对YouTube创作者进行网络钓鱼攻击。根据谷歌威胁分析小组 (TAG) 安全人员研究发现，这些攻击者通过俄语论坛上发布的黑客招募信息聚集在一起，以下是用于招募黑客的职位描述。

散布“合作机会”

黑客盗取YouTube创作者账户的方式很由欺诈性，黑客首先发布虚假合作机会，利用虚假的合作机会(即杀毒软件、虚拟专用网、音乐播放器、照片编辑或网络游戏的推广)，YouTube创作者运行假冒软件后，会触发执行cookie窃取恶意软件。

恶意软件从受感染的机器窃取浏览器 cookie 并将其发送到 C2 服务器，成功窃取YouTube创作者的频道。

一旦劫持了频道，黑客会根据订阅者的数量，将劫持的频道从3美元到4000美元不等价格出售，另外，攻击者会开展竞价行为，将其出售给出价最高的人。

钓鱼模式

攻击者将恶意软件登陆页面伪装成软件下载的URL，通过电子邮件或Google Drive上的PDF或包含网络钓鱼链接的Google文档发送，恶意软件一旦在目标系统上运行就会窃取创作者的凭据和浏览器cookie，从而允许攻击者在传递 cookie攻击中劫持受害者的​​帐户。

TAG 安全工程师称这样的窃取技术已经存在了几十年，但它重新成为最大的安全风险可能是由于多因素身份验证 (MFA) 的广泛采用使其难以进行滥用，并将攻击者的重点转移到社会工程策略上。

随后，Google TAG发布的声明中表示，大多数观察到的恶意软件都能够窃取用户密码和 cookie。一些样本采用了多种反沙盒技术，包括扩大文件、加密存档和下载 IP 伪装。观察到一些显示虚假错误消息，需要用户点击才能继续执行

网络安全专家通过分析得知，攻击者试图将目标推向WhatsApp、Telegram或Discord等消息应用程序，由于谷歌能够通过Gmail阻止网络钓鱼企图而未成。

黑客在进行此活动中使用的一些恶意代码包括：

RedLine、Vidar、Predator The Thief、Nexus窃取程序、Azorult、Raccoon、Grand Stealer、Vikro Stealer、Masad 和 Kantal，以及Sorano和 AdamantiumThief 。

参考文章：

https://securityaffairs.co/wordpress/123630/hacking/youtube-creators-accounts-hijacked-malware.html