A CloudSEK kiberbiztonsági vállalat kutatói szerint e-mailes adathalász kampány során YouTube-os tartalomgyártókat támadnak hamis együttműködési ajánlatokkal. Az e-mailek olyan OneDrive linket tartalmaznak, amelyekkel malware telepíthető az áldozatok eszközére.
„A malware Word dokumentumokban, PDF-ekben vagy Excel fájlokban rejtőzik, leggyakrabban promóciós anyagnak, szerződésnek vagy üzleti ajánlatnak álcázva.” – magyarázták a kutatók.
„Az adathalász e-mailek rendszerint meghamisított vagy feltört címekről küldik, hogy hitelesnek tűnjenek. A címzetteket valós üzleti ajánlatoknak álcázott mellékletek letöltésére ösztönzik. A melléklet megnyitását követően a malware telepíti magát az áldozat rendszerére. A kártékony szoftvert elsősorban érzékeny adatok lopására tervezték, főként bejelentkezési adatok, pénzügyi információk és szellemi tulajdon megszerzésére, valamint távoli hozzáférés biztosítására.
A támadók főként jól ismert márkákat másolnak és jelentős díjazást ígérnek egy 15 másodperces reklámhelyért cserébe.
A CloudSEK-nek sikerült hozzáférnie a támadók infrastruktúrájához és megállapították, hogy automatizálás segítségével indították az adathalász támadásokat számos YouTube-fiók ellen.
A kutatók feltárták a támadás részleteit a kiberbűnözők e-mail fiókjából szerzett adatok alapján, amelyek SMTP e-mail fiókokat (például onet.eu és Murena.io), SOCKS5 proxykat, Google Cloud API-kat, áldozatok e-mail címeit és sütijeit, valamint adathalász sablonokat tartalmaztak.
A YouTube-ról való adatgyűjtéshez egy többfunkciós elemző eszközt használtak, amely lehetővé tette, hogy nagyszámú, YouTube-csatornákhoz tartozó e-mail címet szerezzenek meg a felderítés részeként.
