Przed chwilą dostałem maila od YouTube.
Ponoć mam zatwierdzić nowe wytyczne związane z zarabianiem na tej platformie, bo inaczej stracę te 6,49zł miesięcznie, które zarabiam 😱
To oczywiście phishing.
Oto analiza ataku 🧵 ↓
Atak rozpoczyna się dość niepozornie.
Otrzymujesz na maila skojarzonego z serwisem YT, linka do filmu z tego serwisu. Nadawcą jest "Notification for YouTube Creators".
To nie jest podszycie się pod nadawcę!
Platforma naprawdę wysłała tego maila, a film jest u nich 🤔
Film nie posiada miniatury, ponieważ jego widoczność ustawiona jest na "prywatny" - dla takich nagrań miniatury się nie generują. Musisz więc wejść w linka, aby zobaczyć, co to jest.
Ale moment... jakim cudem masz zobaczyć PRYWATNY film?!
No i właśnie tutaj leży sekret ataku. YT oferuje możliwość dzielenia się prywatnymi filmami z innymi użytkownikami, o ile znamy ich adresy e-mail w serwisie.
Agresor podaje Twojego maila i to YouTube faktycznie wysyła Ci wiadomość z phishingiem.
Co zawiera podlinkowany film? Jakiś gość mówi, że mam 7 dni na wypełnienie dokumentów z opisu filmu, bo inaczej przestanę zarabiać.
Zrobiłem screena tego filmu → wrzuciłem do wyszukiwarki TinEye (reverse image search).
Okazało się, że to CEO YouTube 😅
Film jest wygenerowany przez AI, ale wygląda BARDZO realnie.
Do tego wszystkie ujęcia pochodzą z prawdziwego nagrania z CEO (TinEye mi je podlinkował), tylko wsadzono mu w usta (i skorygowano ruch warg) moment, w którym prosi o kliknięcie linka z opisu.
OK - przeszedłem do opisu. Tam ciekawy trik, bo link prowadzi do aplikacji w domenie "app.goo.gl" (a więc googlowa domena!), która robi open redirect na phishing. URL prowadzi do pewnego znanego skracacza linków, a on otwiera dokument "NDA.PDF" - no prawie.
W moim przypadku zobaczyłem tylko info, że jestem userem mobilnym i mam wejść w linka z komputera. Ale ja przecież pracuję na komputerze 🤔
A! Zapomniałem, że Macbook to dla wielu nie komputer, wiec szybko dopisałem do user-agenta przeglądarki słowo "WINDOWS".
Zadziałało 😏
Teraz zamiast komunikatu o urządzeniu mobilnym dostałem redirect na plik hostowany na Dropbox.
"YouTube Partner Program Policy Update – Feb 2025.msi"
Wygląda w pełni legitnie. Każda aktualizacja regulaminu to w końcu windowsowy instalator 🤷♂️
Wrzuciłem plik do darmowej wirtualnej maszyny z Windowsem w serwisie "Triage", aby zrobić analizę. Plik się uruchamia i na tym koniec.
Nic więcej nie widać.
Raport z Triage pokazał: Malware 10/10.
Wrzuciłem plik do serwisu Virustotal, ale wynik tylko 8/57. Słaba wykrywalność.
Oprogramowanie zostało zidentyfikowane jako "Troyan Mikey".
Kradnie dane z przeglądarek, zapisane hasła, informacje bankowe itp.
Krótko mówiąc: uruchamiając ten plik nie zaczniesz zarabiać na YT.
Stracisz swój kanał, wszystkie zalogowane w przeglądarce konta i być może trochę kasy.
Powiadomiłem wszystkich zainteresowanych (YT, Dropbox i skracacza linków + CERT) o problemie.