Canais no Youtube são hackeados com cookies roubados

Alguns meses atrás, o popular blogueiro de tecnologia Linus Tech foi hackeado. Todos seus três canais no YouTube (o maior deles com mais de 15 milhões de assinantes) caíram nas mãos de cibercriminosos, que começaram a fazer transmissões com anúncios de criptomoedas falsos. Como os hackers conseguiram acessar os canais? O famoso blogueiro de tecnologia não protegeu suas contas com uma senha forte e autenticação de dois fatores? Claro que sim (pelo menos é o que ele afirma).

Linus Tech foi vítima de um ataque pass-the-cookie, um método comum para atacar YouTubers selecionados. Neste post, veremos mais de perto os objetivos e motivos por trás desses ataques, como os hackers podem acessar os canais sem saber a senha e a autenticação de duas etapas, o que o Google está fazendo a respeito e como não ser vítima desse tipo de ataque.

Por que ir atrás de canais do YouTube?

Os canais de famosos YouTubers (e outros não tão conhecidos) geralmente são sequestrados para exigência de um resgate para devolução, ou para acessar o público da vítima (como no caso da invasão dos canais do Linus Tech). Neste último caso, após invadir o canal, os golpistas alteram o nome, a foto do perfil e o conteúdo.

Assim, em vez de um espaço sobre, digamos, inovação tecnológica, aparece um canal que imita a conta de alguma grande empresa (na maioria das vezes, a Tesla) com a foto de perfil correspondente. Depois disso, os invasores o usam para transmitir gravações de Elon Musk expressando suas reflexões sobre criptomoedas. Todos os outros conteúdos da conta, geralmente, são removidos.

Transmissões com Elon Musk em canais hackeados. Fonte

Ao mesmo tempo, um link para um site de uma “promoção exclusiva de criptomoeda” é inserido no chat. Por exemplo, o próprio Musk supostamente está distribuindo criptomoedas: para obter sua parte, os usuários devem transferir suas moedas para uma determinada carteira, com a promessa de que receberão o dobro.

Um site falso para atrair os participantes da transmissão. Fonte

 Um detalhe curioso: muitas vezes os golpistas têm a perspicácia de colocar restrições no chat: só ​​usuários inscritos há mais de 15 ou 20 anos podem postar mensagens (e não importa se o canal não tiver esse tempo de vida, já que o próprio YouTube só surgiu em 2005).

Claro, este é um exemplo de um golpe típico que já analisamos aqui uma ou duas vezes.

Transfira suas bitcoins para gente e ganhe o dobro. Fonte

A transmissão é rapidamente bloqueada pelo YouTube, junto com o canal do infeliz influenciador, por “violar as diretrizes da comunidade do YouTube”. E então os verdadeiros proprietários enfrentam a cansativa tarefa de restaurar seus próprios canais e provar à plataforma que não foram eles que distribuíram links para sites falsos e transmitiram anúncios fraudulentos.

No caso da Linus Tech, com seus 15 milhões de assinantes, isso foi relativamente fácil de fazer. O canal foi restaurado em poucas horas, embora ele tenha perdido a monetização daquele dia. Quanto tempo um YouTuber com um público menor precisaria para corrigir a situação e se isso seria possível, são perguntas para as quais você não deseja obter uma resposta a partir de uma experiência pessoal.

Como sequestrar um canal sem precisar de senha

Para invadir um canal do YouTube, não é necessário que os invasores roubem nenhuma credencial. Colocar as mãos nos tokens de sessão será suficiente. Mas vamos por partes…

Um ataque típico a um canal do YouTube começa com um e-mail para o influenciador, vindo aparentemente de uma empresa genuína e com uma proposta de parceria; pode ser um serviço de VPN, um desenvolvedor de jogos ou até mesmo um fornecedor de antivírus. Não há nada suspeito no primeiro e-mail, então o membro da equipe do youtuber responde com uma mensagem padrão detalhando as taxas de divulgação para produtos e serviços.

O próximo e-mail é muito menos inocente. Os golpistas enviam um arquivo supostamente contendo um contrato, ou um link para um serviço em nuvem para baixá-lo, bem como a senha desse arquivo. Para tornar o e-mail mais convincente, os criminosos geralmente adicionam um link para um site ou conta de rede social afiliada ao produto que desejam que o youtuber “promova”. O link pode apontar para o site de uma empresa de boa-fé ou para uma página falsa.

E-mail com um link para baixar um arquivo com um “contrato”.  Fonte

Se o influenciador ou os membros de sua equipe não forem cuidadosos e acessarem o arquivo, encontrarão um ou mais documentos que podem parecer com arquivos normais de Word ou PDF. A única coisa estranha é que todos os arquivos são muito grandes (mais de 700 MB), o que impossibilita a verificação de ameaças usando um serviço como o VirusTotal. Muitas soluções de segurança irão ignorar esses arquivos pelo mesmo motivo. A abertura deles com ferramentas especiais para análise de executáveis ​​revela a presença de muitos espaços vazios, o que torna esses documentos muito grandes.

Claro, escondido dentro do arquivo que parece um contrato inocente, há uma série de malwares. Ciente do problema, o Google analisou tais ataques e identificou os diversos tipos de malware utilizados. Entre eles estava o Trojan RedLine, que tem sido apontado por muitos YouTubers como o culpado por seus infortúnios ultimamente.

Os invasores usam esse malware para atingir o objetivo principal de roubar tokens de sessão do navegador da vítima. Com a ajuda de tokens de sessão ou cookies, o navegador “lembra” o usuário, permitindo que ele evite passar pelo processo de autenticação completo a cada vez com uma senha e um segundo fator. Ou seja, tokens roubados permitem que cibercriminosos representem vítimas autenticadas e façam login em suas contas sem as credenciais.

E o Google com isso?

O Google está ciente do problema desde 2019. Em 2021, a empresa publicou um grande estudo intitulado Campanha de phishing direcionada a criadores de conteúdo do YouTube com malware para roubo de cookies. O Grupo de Análises de Ameaças do Google investigou as técnicas de engenharia social e o malware implantado em tais ataques.

Após o estudo, a empresa anunciou que tomou várias medidas para proteger os usuários:

• Diretrizes heurísticas extras foram implementadas para identificar e prevenir e-mails de phishing e engenharia social, sequestro de roubo de cookies e fraudulentas transmissões ao vivo sobre criptomoedas.
• A navegação segura agora inclui recursos aprimorados para identificar e bloquear downloads e páginas web maliciosas.
• O YouTube fortaleceu os processos envolvidos na transferência de canais, detectando com sucesso e recuperando automaticamente mais de 99% dos canais comprometidos.
• A proteção de conta reforçou os procedimentos de autenticação para prevenir e alertar os usuários sobre atividades potencialmente arriscadas.

Essas medidas estão funcionando? A julgar pelos comentários dos próprios YouTubers e pelo fato de que tais hacks continuam ocorrendo regularmente (ao escrever este post, eu mesmo encontrei transmissões falsas do Elon Musk em três canais evidentemente roubados), na verdade não. O mesmo Linus Tech ficou indignado porque, para mudar o nome do canal e sua foto de perfil e remover todos os vídeos do canal, o YouTube não pede ao usuário que digite uma senha ou código de autenticação de dois fatores.

Proteja você mesmo seu canal

Para não perder o controle do seu próprio canal, é bom tomar alguns cuidados. Em primeiro lugar, instale uma proteção confiável em todos os dispositivos de trabalho e realize treinamentos regulares em cibersegurança com sua equipe. Todos com acesso a contas comerciais devem:

• Reconhecer os sinais mais comuns de phishing
• Ser capazes de identificar engenharia social
• Nunca clicar em links suspeitos
• Nunca baixar ou abrir arquivos anexados vindos de fontes não-confiáveis.