Google desenmascara una campaña de phishing y malware de dos años dirigida a los usuarios de YouTube

Casi dos años después de que una ola de quejas inundó los foros de soporte de Google sobre el secuestro de cuentas de YouTube, incluso si los usuarios tenían habilitada la autenticación de dos factores, el equipo de seguridad de Google finalmente ha localizado la causa raíz de estos ataques. De un informe:

En un informe publicado hoy, el Grupo de Análisis de Amenazas de Google (TAG) atribuyó estos incidentes a "un grupo de piratas informáticos reclutados en un foro de habla rusa". TAG dijo que los piratas informáticos operaban comunicándose con las víctimas por correo electrónico con varios tipos de oportunidades comerciales. Los usuarios de YouTube solían ser atraídos por posibles acuerdos de patrocinio. Se pidió a las víctimas que instalaran y probaran varias aplicaciones y luego publicaran una reseña. Las aplicaciones que se utilizan normalmente en estos esquemas incluyen software antivirus, clientes VPN, reproductores de música, editores de fotos, optimizadores de PC o juegos en línea.

Pero sin que los objetivos lo supieran, los piratas informáticos escondieron malware dentro de las aplicaciones. Una vez que los creadores de YouTube recibieron e instalaron la aplicación de demostración, el instalador colocaría malware en sus dispositivos, malware que extraería las credenciales de inicio de sesión y las cookies de autenticación de sus navegadores y enviaría los datos robados a un servidor remoto. Luego, los piratas informáticos usarían las cookies de autenticación para acceder a la cuenta de un YouTuber, evitando la necesidad de ingresar un token de autenticación de dos factores (2FA), y cambiarían las contraseñas y el correo electrónico de recuperación y los números de teléfono de la cuenta. Con las víctimas bloqueadas de sus cuentas, los piratas informáticos normalmente venderían el canal de YouTube secuestrado en mercados clandestinos para identificar identidades robadas.