Google podaje, że od końca 2019 roku rosyjscy hakerzy atakują ze zdwojoną siłą użytkowników usługi YouTube za pomocą odpowiednio spreparowanych maili phishingowych i złośliwego oprogramowania, które kradnie pliki cookie. Hakerzy sprzedają np. dostęp do przejętych przez nich kanałów pracujących w trybie online (streaming), pobierając opłaty w wysokości od kilku do nawet kilkuset tysięcy USD.

Google zablokował 1,6 mln pishingowych wiadomości pocztowych, przesłał użytkownikom ponad 62 tys. alertów ostrzegających ich przed phishingiem i przywrócił kilka tysięcy przejętych kont. Phishingowe maile zawierały najczęściej złośliwe oprogramowanie, które kradnie z przeglądarek pliki cookie.

Zobacz również:

• Cyberobrona? Mamy w planach
• FBI ostrzega - masowy atak phishingowy w USA
• Użytkownicy Androida mogą się wkrótce zdziwić

Ataki tego typu (noszące nazwę „pass-the-cookie”) znane są od dawna, teraz zostały udoskonalone. Są skuteczne nawet wtedy, gdy użytkownik włączy usługę MFA (uwierzytelniane dwuskładnikowe). Pliki cookie są kradzione również wtedy, gdy użytkownik zalogował się na swoje konto w trybie MFA, czyli podał zarówno hasło, jak i użył do tego celu smartfona. Po uruchomieniu szkodliwego oprogramowania, plik cookie jest przesyłany na skonfigurowane przez hakera serwery, które mogą wtedy przystąpić do właściwego ataku, czyli przejęcia konta.

Google zidentyfikował również ponad 1000 domen, które zostały utworzone w celu dystrybuowania złośliwego oprogramowania. Domeny podszywały się przy tym pod znane serwisy technologiczne, tak aby uśpić czujność użytkowników. Kradnący pliki cookie malware pracuje przy tym w trybie „non-persistent” (przejściowym), zmniejszając w ten sposób prawdopodobieństwo tego, że system bezpieczeństwa wykryje zagrożenie, gdyż ma wiedzę o jego wcześniejszej aktywności.