Allerta Stream-jacking: le live YouTube che diffondono malware

Bitdefender ha pubblicato una nuova ricerca, rivelando un improvviso aumento degli attacchi noti come stream-jacking. A quanto pare, questi  risultano mirati contro servizi di streaming popolari e di alto profilo (YouTube su tutti) e tendono a distribuire link che portano a download dannosi.

Le conseguenze dello scaricamento di malware portano a diversi effetti indesiderati, con conseguente furto di dati sensibili, ma anche al furto di criptovalute. I ricercatori hanno scoperto che i criminali informatici prendono di mira gli account con un elevato numero di follower per diffondere messaggi fraudolenti a un pubblico vasto. Incorporano popup sospetti di live streaming su YouTube, nei feed degli utenti, e promuovono i loro show con intenzione di mietere più vittime possibili.

I canali YouTube con un ampio seguito sono inoltre particolarmente desiderabili, poiché i criminali informatici possono facilmente monetizzarli dopo le operazioni di hacking chiedendo un riscatto al proprietario. Questi canali possono anche essere proprietà marchi di alto livello come Tesla, con milioni di follower e miliardi di visualizzazioni.

Le frodi di questo su YouTube sono un problema serio. Nel 2020, il cofondatore di Apple Steve Wozniak ha citato in giudizio YouTube per truffe riguardanti Bitcoin avvenute sulla piattaforma, perpetrate usando il suo nome. Wozniak ha accusato YouTube e Google di aver consentito frodi non avendo preso provvedimenti contro di loro.

Per Bitdefender “L’osservazione di una simile operazione su larga scala ci ha fatto riflettere sui canali dietro queste truffe e, dopo un esame più attento, abbiamo notato che la maggior parte dei canali YouTube erano, in effetti, dirottati/rubati“.

Le strategie di stream-jacking attuate dai cybercriminali

Il modus operandi è generalmente lo stesso per quanto riguarda gli attacchi di phishing. I criminali informatici inviano e-mail che presentano opportunità per il proprietario, come collaborazioni con il marchio o accordi di sponsorizzazione.

A volte possono inviare falsi avvisi di copyright da YouTube al proprietario. Questa email, concepita come un messaggio legittimo, incoraggia il destinatario a scaricare un documento dannoso presentato come imprescindibile per la collaborazione. Di solito si tratta di un file PDF che contiene il malware Redline o altri info-stealer. Si tratta di un file di grandi dimensioni (oltre 300 MB) e può facilmente aggirare la maggior parte dei meccanismi di sicurezza standard.

Quando viene aperto, entro 30 secondi, l’agente malevolo inizia a raccogliere dati vitali dal computer, inclusi token e cookie. Con queste informazioni l’aggressore può accedere direttamente al canale YouTube, anche se l’utente ha attivato l’autenticazione a più fattori. Dopo aver acquisito il controllo dell’account, gli aggressori ritrasmettono o caricano nuovamente i contenuti dopo aver incorporato una truffa.

La maggior parte dei contenuti presenti sui canali compromessi sono truffe in live streaming, vengono resi privati o cancellati dall’aggressore. I cybercriminali modificano anche le descrizioni dei canali secondo le loro esigenze, per attirare un numero sempre maggiore di spettatori.