Connect with us

Deutsch

Google unterbricht massive Phishing- und Malware-Kampagne

Published

on

Google hat seit Mai 2021 1,6 Millionen Phishing-E-Mails blockiert, die Teil einer Malware-Kampagne waren, um YouTube-Konten zu kapern und Kryptowährungsbetrug zu fördern.

Laut der Threat Analysis Group (TAG) von Google unterbricht es seit Ende 2019 Phishing-Kampagnen eines Netzwerks russischer Hacker-Subunternehmer, die YouTuber mit „hochgradig angepassten“ Phishing-E-Mails und Cookie-stehlender Malware angreifen.

Das Hauptziel der Gruppe war es, YouTube-Konten für Live-Stream-Betrug zu kapern, die gegen einen ersten Beitrag kostenlose Kryptowährung anbieten. Die andere Haupteinnahmequelle der Gruppe war der Verkauf von gekaperten YouTube-Kanälen für 3 bis 4.000 US-Dollar, je nachdem, wie viele Abonnenten ein Kanal hat.

SEHEN: Diese neue Ransomware verschlüsselt Ihre Daten und macht auch einige böse Bedrohungen aus

Bis Mai dieses Jahres hat Google nach eigenen Angaben 1,6 Millionen Nachrichten an Ziele blockiert, 62.000 Safe Browsing-Phishing-Warnungen angezeigt und rund 4.000 entführte Konten wiederhergestellt.

Die Phishing-E-Mails lieferten Malware, die darauf ausgelegt ist, Sitzungscookies von Browsern zu stehlen. Obwohl der “Pass-the-Cookie”-Angriff nicht neu ist, ist er raffiniert: Er umgeht nicht die Multi-Faktor-Authentifizierung (MFA), sondern funktioniert sogar, wenn Benutzer MFA für ein Konto aktivieren, da das Sitzungscookie gestohlen wird, nachdem der Benutzer dies getan hat bereits mit zwei Faktoren wie einem Passwort und einem Smartphone authentifiziert. Sobald die Malware ausgeführt wird, wird das Cookie zur Kontoentführung auf die Server des Angreifers hochgeladen.

„Das Wiederaufleben als größtes Sicherheitsrisiko könnte auf eine breitere Einführung der Multi-Faktor-Authentifizierung (MFA) zurückzuführen sein, die Missbrauch erschwert und den Fokus der Angreifer auf Social-Engineering-Taktiken verlagert“, erklärt TAG-Analystin Ashley Shen.

Google führte die Kampagne einer Gruppe von „Hack-for-hire“-Schauspielern zu, die „in einem russischsprachigen Forum rekrutiert“ wurden. Die Auftragnehmer betrügen dann Ziele mit gefälschten Geschäftsmöglichkeiten, wie der Möglichkeit, eine Demo für Antivirensoftware, VPN, Musikplayer, Fotobearbeitungssoftware oder Online-Spiele zu monetarisieren. Aber dann kapern die Angreifer den YouTube-Kanal und verkaufen ihn oder verwenden ihn, um Kryptowährungsbetrug live zu streamen.

Für die Hacker ist es einfach, an die E-Mails eines Ziels zu gelangen, da YouTuber sie oft auf ihrem Kanal veröffentlichen, in der Hoffnung auf Geschäftsmöglichkeiten, genau wie die Phishing-Angreifer.

SEHEN: So wehren Formel-1-Teams Cyberangriffe ab

„Nachdem das Ziel dem Deal zugestimmt hatte, wurde eine als Software-Download-URL getarnte Malware-Landingpage per E-Mail oder als PDF auf Google Drive gesendet und in einigen Fällen Google-Dokumente mit den Phishing-Links. die meisten davon wurden speziell für diese Kampagne erstellt”, bemerkt Shen.

Google hat außerdem 1.011 Domains identifiziert, die für die Verbreitung von Malware erstellt wurden. Die Domains gaben sich als bekannte Tech-Sites aus, darunter Luminar, Cisco VPN und Spiele auf Steam.

Shen stellt fest, dass diese Auftragnehmer die Cookie-stehlende Malware im nicht persistenten Modus ausführen, um die Wahrscheinlichkeit zu verringern, dass Sicherheitsprodukte den Benutzer auf eine frühere Gefährdung aufmerksam machen.

Continue Reading

Copyright © 2021 Meta Mag Inc.