La compañía admitió que viene ocurriendo desde 2019. Exigirá doble autenticación.
Ciberdelincuentes estuvieron hackeando canales de YouTube desde al menos 2019 para transmitir en vivo estafas con criptomonedas, según publicó esta semana el medio especializado en tecnología Wired. La mecánica sería similar a la del año pasado, cuando cuentas de Twitter de famosos como Donald Trump, Jeff Bezos y Elon Musk fueron intervenidas para una estafa de ingeniería social el cripto.
Google detalló la técnica que utilizaron los ciberdelincuentes contratados para comprometer a miles de creadores de YouTube en los últimos años. Las estafas de criptomonedas y las apropiaciones de cuentas en sí mismas no son algo raro, pero un ataque sostenido como el que se conoció ahora denota una práctica que hasta ahora la compañía no había reconocido.
Según explicó Wired, todo comienza con un “phishing”, es decir, un robo de contraseña. Los atacantes envían a los creadores de YouTube un correo electrónico que parece provenir de un servicio real, como una VPN, una aplicación de edición de fotos o una oferta antivirus, y se ofrecen a colaborar. Proponen un arreglo promocional estándar: muestre nuestro producto a sus espectadores y le pagaremos una tarifa. Es el tipo de transacción que ocurre todos los días para los youtubers.
Sin embargo, hacer clic en el enlace para descargar el producto llevaba al creador a un sitio “landing” de malware en lugar del verdadero. En algunos casos, los cibercriminales se hicieron pasar por cantidades conocidas como Cisco VPN y juegos de Steam, o fingieron ser medios de comunicación centrados en COVID-19.
Google dice que ha encontrado más de mil dominios hasta la fecha que fueron diseñados específicamente para infectar a youtubers. La compañía también encontró 15.000 cuentas de correo electrónico asociadas con los atacantes detrás del esquema. Los ataques no parecen haber sido obra de una sola entidad; más bien, dice Google, varios piratas informáticos anunciaron servicios de adquisición de cuentas en foros en ruso.
Cómo funciona la estafa a youtubers
Una vez que el youtuber descarga inadvertidamente el software malicioso, toma cookies específicas de su navegador. Estas "cookies de sesión" confirman que el usuario ha iniciado sesión correctamente en su cuenta. Un ciberdelincuente puede cargar esas cookies robadas en un servidor malicioso, permitiéndoles hacerse pasar por la víctima ya autenticada. Las cookies de sesión son especialmente valiosas para los atacantes porque eliminan la necesidad de pasar por cualquier parte del proceso de inicio de sesión.
Estas técnicas de "pasar la cookie" han existido durante más de una década, pero siguen siendo efectivas. En estas campañas, Google dice que observó a los piratas informáticos que usaban alrededor de una docena de herramientas de malware de código abierto y listas para usar para robar las cookies del navegador de los dispositivos de las víctimas. Muchas de estas herramientas de piratería también podrían robar contraseñas.
Google no confirmó qué incidentes específicos estaban relacionados con la ola de robo de cookies, pero detectó un aumento notable en las adquisiciones se produjo en agosto de 2020, cuando ciberdelincuentes secuestraron varias cuentas con cientos de miles de seguidores y cambiaron los nombres de los canales a variaciones de "Elon Musk" o "Space X", luego estafas de bitcoins transmitidas en vivo.
No está claro cuántos ingresos generó cualquiera de estas estafas, pero presumiblemente estos ataques han tenido al menos un éxito moderado dado lo generalizados que se volvieron.