Ein neuer Bericht der Threat Analysis Group (TAG) von Google hat eine laufende Phishing-Kampagne gegen YouTuber aufgedeckt. Dahinter stecken ominöse Kanäle, die Kryptowährungsbetrug betreiben. Die TAG führt die Angriffe auf eine Gruppe von russischen Hackern zurück. Diese wurden in einem russischsprachigen Forum rekrutiert. Sie kompromittieren den Kanal des Urhebers, indem sie ihm gefälschte Kooperationsmöglichkeiten anbieten. Sobald die YouTube-Kanäle gekapert sind, werden sie entweder an den Meistbietenden verkauft oder zur Verbreitung von Kryptowährungsbetrug verwendet.

Die Hacker setzten dafür ein bestimmtes Verfahren von Cookie-Diebstahl ein. Auch als “Pass-the-Cookie-Attack” bekannt, ist es eine Session-Hijacking-Technik. Sie erschleicht sich den Zugriff auf Benutzerkonten mit den im Browser gespeicherten Session-Cookies.

YouTube-Accounts wurden durch Cookie-Diebstahl gekapert

Diese Methode gibt es zwar schon seit Jahrzehnten, hat kürzlich aber laut Google ein echtes “Revival” erlebt. Laut den Sicherheitsexperten könnte ihr Wiederaufleben in der Hacker-Szene darauf zurückzuführen sein, dass sich die Multi-Faktor-Authentifizierung (MFA) immer mehr durchsetzt. Diese erschwert einen Missbrauch und verlagert den Fokus der Angreifer daher auf Social-Engineering-Taktiken.

Sobald die Zielperson dem Deal zustimmte, wurde eine als Software-Download-URL getarnte Malware-Landingpage […] verschickt. Wir konnten etwa 15.000 Konten von Akteuren identifizieren, die meisten Konten hatten sie speziell für diese Kampagne erstellt

, heißt es in dem Google-Dokument. Das Unternehmen hat jedoch Tools implementiert, die zur Erkennung und Blockierung von Phishing- und Social-Engineering-E-Mails, Cookie-Diebstahl und Krypto-Scam-Livestreams dienen sollen. Damit sei es gelungen, das Volumen der Gmail-Phishing-E-Mails seit Mai 2021 um 99,6 Prozent zu verringern.