YouTube アカウントを乗っ取る Cookie-Stealing マルウェアとは?

Google: YouTubers’ accounts hijacked with cookie-stealing malware

2021/10/20 BleepingComputer — Google によると、金銭的な動機を持った脅威アクターがコーディネートしたフィッシング攻撃により、YouTube クリエイターのパスワードを盗み出す、マルウェアの標的になっているという。このキャンペーンは 2019年後半に、Google の Threat Analysis Group (TAG) の研究者たちにより発見されたものだが、攻撃の背後にはロシア語圏のフォーラムの求人広告で募集された、複数の hack-for-hire アクターが存在するとされている。

脅威アクターたちは、ソーシャル・エンジニアリングやフィッシング・メールを利用して、それぞれの攻撃者が選び出した情報窃取用のマルウェアを、YouTube クリエイターに感染させてきた。

pass-the-cookie 攻撃で乗っ取られたチャネル

今回の攻撃で確認されたマルウェアには、RedLine/Vidar/Predator The Thief/Nexus stealer/Azorult/Raccoon/Grand Stealer/Vikro Stealer/Masad/Kantal などの汎用性の高いものに加え、AdamantiumThief などのオープンソースのものや、Sorano などの流出したツールも含まれている。ターゲットのシステムに侵入したマルウェアは、認証情報やブラウザのクッキーを盗み出し、pass-the-cookie 攻撃で被害者のアカウントを乗っ取る。

TAG の Security Engineer である Ashley Shen は、「この手法は何十年も前から存在していたが、セキュリティ上の最大のリスクとして復活したのは、多要素認証 (MFA) の普及により従来からの手法が通用せず、攻撃者の関心がソーシャル・エンジニアリングに移行したことが原因だと考えられる。観測されたマルウェアの大半は、ユーザーのパスワードとクッキーを盗み出すものだ。サンプルの中には、肥大化されたファイル/暗号化されたアーカイブ/ダウンロード IP cloaking などの、いくつかのサンドボックス回避技術が採用されているものもある」と述べている。

Google は、これらの攻撃に関連する少なくとも 1,011 個のドメインと、フィッシング・メールを YouTube クリエイターのビジネスメールに配信する、約 15,000 個の脅威アクター・アカウントを確認している。これらのドメインやアカウントは、キャンペーンのために特別に作成されたものであり、マルウェアのランディング・ページにリダイレクトするリンクが含まれている。

Attack flow
Image: Google

アンダーグラウンド・マーケットで $4,000 で販売

これらの攻撃により、相当数の YouTube チャネルが乗っ取られている。それらのチャネルは、著名な技術者や暗号通貨取引企業に成りすますためにブランドが変更され、ライブ・ストリーミング暗号通貨詐欺に利用された。また、アンダーグラウンドのアカウント取引市場で販売されたものもあり、チャネルの総登録者数に応じて $3 〜 $4,000 の価格が付けられている。

Ashley Shen によると、Google TAG は 2021年5月以降に、これらの攻撃に関連するフィッシング・メールを 99.6% を、Gmail 上で削減したとのことだ。彼は、「ターゲットへ向けられた 160万通のメッセージをブロックし、62,000 件のフィッシング・ページ警告を表示し、2,400 ファイルをブロックし、4,000 のアカウントの復元に成功した。検知活動の強化に伴い、攻撃者が Gmail から他のメール・プロバイダー (主に email.cz/seznam.cz/post.cz/aol.com) に移行していることが確認されている」と述べている。

また、Google は、キャンペーンの対象となった YouTube ユーザーやクリエイターを保護するため、この悪質な活動を FBI に報告し、さらなる調査を行っている。

pass-the-cookie 攻撃を検索してみたら、「セキュリティ入門Web講座」というプログで紹介されていました。ひとことで言うと、1:何らかの方法で Cookie を入手・・・2:入手した Cookie 情報を利用して認証をせずにサービスを利用・・・という手順で行われるようです。とても助かります。有難うございます。また、先日には、「Cookie 同意の Pop-Up:すべてを受け入れることのリスクとは?」という記事をポストしています。Cookie の怖さが、よく分かりますね。

%d bloggers like this: