Захват канала на YouTube с помощью ворованных cookie

Пару месяцев назад известного техноблогера Linus Tech взломали. Все три его YouTube-канала (самый большой имеет аудиторию более 15 миллионов подписчиков) попали в руки злоумышленников, которые начали транслировать на них стримы с рекламой криптомошенничества. Как преступникам удалось получить доступ к каналам? Неужели знаменитый техноблогер не защитил свой аккаунт сильным паролем и двухфакторной аутентификацией? Конечно же защитил (по крайне мере, как говорит он сам).

Linus Tech стал жертвой распространенной атаки типа pass-the-cookie attack, таргетированной на ютуберов. В этом посте подробно разберемся, какие цели преследуют стоящие за подобными атаками злоумышленники, как им удается получать доступ к каналам без пароля и второго фактора от аккаунта, что по этому поводу делает Google и как не стать жертвой аналогичной схемы.

Зачем взламывают YouTube-каналы?

Каналы известных и не очень ютуберов захватывают в основном, чтобы либо потребовать выкуп за возвращение, либо ради получения доступа к аудитории блогеров (по этой причине был взломан и канал Linus Tech). Во втором случае после взлома злоумышленники подменяют название канала, его обложку и содержимое.

Так на месте блога, ну скажем про технологические инновации, появляется канал, имитирующий блог какой-нибудь крупной компании (чаще всего Tesla) с соответствующей обложкой. После этого на нем запускаются стримы с записью Илона Маска и его рассуждениями о криптовалютах. Весь остальной контент из блога зачастую удаляется.

Стримы с Илоном Маском на взломанном канале. Источник

В тоже время в чате трансляции распространяется ссылка на сайт уникальной акции, связанной с криптовалютами. Вот, например, сам Илон Маск раздает криптовалюту: пользователю необходимо перевести свои коины на некий кошелек, после чего ему вернется в два раза больше.

Мошеннический сайт, куда злоумышленники заманивают зрителей стрима. Источник

Пикантная деталь: в чате мошенники часто предусмотрительно ставят ограничения — писать сообщения могут только пользователи, подписанные на канал более пятнадцати, а то и двадцати лет (и не важно, что тогда еще не существовал не только этот блог, но и YouTube в целом).

Разумеется, это пример типичной мошеннической схемы, о которых мы писали уже не раз и не два.

Переведите свои биткоины нам, и мы вернем вам в два раза больше криптовалюты. Источник

Вскоре подобная трансляция блокируется YouTube вместе с каналом неудачливого блогера за «нарушение правил сообщества» (for violating YouTube’s Community Guidelines). И дальше настоящего владельца ждет увлекательная игра в восстановление собственного канала и доказывание платформе, что это не он распространял ссылки на мошеннические сайты и проводил сомнительные стримы.

В случае с пятнадцатимиллионным каналом Linus Tech сделать это было относительно несложно. Его канал был восстановлен в тот же день, однако и он потерял целый день монетизации. Сколько времени восстановление справедливости займет у блогера с более скромной аудиторией, да и удастся ли это сделать вообще — вопросы, ответы на которые не хочется узнавать на личном опыте.

Захват канала без пароля

Для взлома YouTube-аккаунтов блогеров злоумышленникам вовсе не нужно воровать учетные данные. Достаточно наложить руки на сессионные токены. Но обо всем по порядку.

Типичная атака на YouTube-канал начинается с письма на бизнес-почту блогера с предложением сотрудничества от имени вымышленной или вполне реальной компании — это может быть VPN-сервис, разработчик игры или даже антивируса. В первом письме нет ничего подозрительно, поэтому сотрудник канала отвечает на него стандартным сообщением с ценником блогера за интеграцию в видео.

Следующее письмо уже далеко не столь безобидно. В нем мошенники присылают архив якобы с контрактом или ссылку на облачный сервис, откуда его можно скачать, а также пароль от этого самого архива. Помимо этого, чтобы сделать письмо более достоверным, мошенники часто добавляют в него ссылку на некий сайт или аккаунт в социальной сети, аффилированный с продуктом, который они хотят «прорекламировать» у блогера. Ссылка может вести как на сайт настоящей честной компании, так и на фальшивые страницы.

Письмо со ссылкой, по которой блогеру следует скачать архив с «контрактом». Источник

Если сотрудник канала не насторожится и разархивирует файлы, он обнаружит один или несколько документов, которые могут выглядеть как обычные файлы Word или PDF. Единственная странность — все документы очень «тяжелые» (более 700 MB), что делает невозможным их проверку на предмет потенциальной опасности сервисами вроде VirusTotal. По той же причине их пропустят многие защитные решения. Если открыть файл с помощью специальных инструментов для анализа исполняемых файлов, окажется, что он заполнен огромным количеством пробелов — они и создают его «вес».

Разумеется, внутри файла, который выглядит как невинный контракт, скрывается целый букет зловредов. Компания Google, которая в курсе существующей проблемы, провела анализ подобных атак и выявила различные виды используемых вредоносных программ. Среди них выделяется троян-стилер RedLine — именно его в последнее время винят в несчастьях блогеры.

Основная цель, которую злоумышленники достигают с помощью этих зловредов, — украсть сессионные токены из браузера жертвы. С помощью сессионных токенов или куки браузер «запоминает» пользователя, что позволяет ему не проходить каждый раз полный процесс аутентификации с введением пароля и проверкой второго фактора. То есть украденные токены дают возможность преступникам выдавать себя за аутентифицированных жертв и входить в аккаунты, не зная их учетные данные.

А что Google?

Как я уже писала выше, Google в курсе существующей проблемы с 2019 года. В 2021 году компания выпустила большое исследование «Фишинговая кампания, нацеленная на YouTube-креаторов с помощью вредоносного ПО для кражи файлов cookie». Команда Google исследовала применяемые преступниками методы социальной инженерии, а также зловредов, которые они используют.

По результатам этой работы компания заявила, что предприняла ряд мер по защите пользователей:

• Дополнила эвристические правила для обнаружения фишинговых писем, предотвращения кражи куки и блокировки трансляций, рекламирующих криптомошенничество.
• Улучшила режим «Безопасного просмотра».
• Автоматически восстановила 99% взломанных и впоследствии заблокированных каналов.
• Усложнила процесс аутентификации, чтобы уведомлять пользователя о подозрительных действиях в его учетной записи.

Работают ли эти меры? Судя по комментариям самих ютуберов и по тому, что подобные взломы продолжают регулярно происходить (во время написания этого поста я сама обнаружила стримы с Илоном Маском на трех явно украденных каналах), — не очень. Все тот же Linus Tech был крайне возмущен тем, что для того, чтобы сменить название канала, его обложку и удалить все видео с канала, YouTube не просит пользователя ввести пароль и код второго фактора.

Защитите себя самостоятельно

Чтобы не потерять контроль над собственным каналом, разумно будет принять ряд мер предосторожности. В первую очередь необходимо установить на все рабочие устройства надежную защиту, а также проводить регулярные тренинги по кибербезопасности с командой. Каждый человек, имеющий доступ к бизнес-аккаунтам, должен:

• знать типичные признаки фишинга;
• уметь выявлять методы социальной инженерии;
• не переходить по сомнительным ссылкам;
• не скачивать заархивированные вложения и ни в коем случае не открывать их.

Советы по выявлению попыток фишинга и описание методов социальной инженерии, равно как и другую информацию об актуальных киберугрозах, можно найти в нашем блоге или в TG-канале «Порвали два трояна».