Una nuova ricerca di Bitdefender ha rivelato dettagli su un attacco stream-jacking che prende di mira i canali YouTube più popolari con la completa acquisizione degli account e attirando i follower su un canale falso promettendo ricompense. Diverse le tattiche di adescamento con popup livestream, link e codici QR.
La truffa prevede l’invio di qualsiasi importo di criptovaluta (Bitcoin, Ethereum, USDT, Dogecoin) e promette di restituire il doppio dell’importo.
Tutto ha inizio con phishing mirato
Questa truffa spesso ha origine da attacchi di phishing mirati. Gli autori malintenzionati inviano e-mail con varie opportunità come esca. L’obiettivo principale è indurre il destinatario a scaricare un file PDF malevolo spacciato come documento importante che in realtà contiene il malware Redline Infostealer.
“Quando il destinatario apre questo file, non ha effetti visibili immediati. Tuttavia, in soli 30 secondi, raccoglie dati vitali dal computer della vittima, concentrandosi su token di sessione, cookie e altre informazioni preziose. Dopo aver raccolto questi dati, anche con l’autenticazione a due fattori attivata, i token di sessione rubati garantiscono all’aggressore l’accesso diretto all’account YouTube, eliminando la necessità di password o altre verifiche. Di conseguenza, il canale viene compromesso“, spiegano i ricercatori Bitdefender.
Tesla il marchio più sfruttato
I ricercatori hanno osservato che Tesla è stato il marchio più sfruttato in questa campagna e che gli account target contavano più di dieci milioni di abbonati e fino a 3,6 milioni di visualizzazioni (i canali YouTube con un ampio seguito sono appetibili poiché i criminali informatici possono facilmente monetizzarli dopo il dirottamento).
I canali imitati cercano di creare un senso di legittimità utilizzando nomi ufficiali ma con caratteri omoglifi (la lettera “L” è sostituita con una i maiuscola “I”) o con caratteri non significativi come “_”.
Inoltre spesso l’audio e i video in loop nel live streaming sono falsi messaggi promozionali di Elon Musk.
Oltre 1300 truffe rilevate
Secondo i ricercatori tutte le pagine esaminate sarebbero state create utilizzando un kit di phishing promosso su di un canale Telegram.
Con oltre 1300 truffe di questo genere rilevate su oltre 150 siti Web con protezione Cloudflare, tutti i proprietari dei canali YouTube devono allertarsi per evitare che i propri account possano venire violati o controllare che non lo siano già stati:
- Prestare la massima attenzione agli attacchi di phishing;
- Prestare attenzione ai possibili segnali di violazione (come cambio immagine profilo e pubblicazioni video non voluti e simili)
- utilizzare password complesse e univoche aggiornandole periodicamente;
- abilitare l’autenticazione MFA;
- Installare una buona soluzione di sicurezza.
