Analiza ataku phishingowego na YouTube

•

Przed chwilą dostałem maila od YouTube. Ponoć mam zatwierdzić nowe wytyczne związane z zarabianiem na tej platformie, bo inaczej stracę te 6,49zł miesięcznie, które zarabiam 😱 To oczywiście phishing. Oto analiza ataku 🧵 ↓

Atak rozpoczyna się dość niepozornie. Otrzymujesz na maila skojarzonego z serwisem YT, linka do filmu z tego serwisu. Nadawcą jest "Notification for YouTube Creators". To nie jest podszycie się pod nadawcę! Platforma naprawdę wysłała tego maila, a film jest u nich 🤔

Film nie posiada miniatury, ponieważ jego widoczność ustawiona jest na "prywatny" - dla takich nagrań miniatury się nie generują. Musisz więc wejść w linka, aby zobaczyć, co to jest. Ale moment... jakim cudem masz zobaczyć PRYWATNY film?!

No i właśnie tutaj leży sekret ataku. YT oferuje możliwość dzielenia się prywatnymi filmami z innymi użytkownikami, o ile znamy ich adresy e-mail w serwisie. Agresor podaje Twojego maila i to YouTube faktycznie wysyła Ci wiadomość z phishingiem.

Co zawiera podlinkowany film? Jakiś gość mówi, że mam 7 dni na wypełnienie dokumentów z opisu filmu, bo inaczej przestanę zarabiać. Zrobiłem screena tego filmu → wrzuciłem do wyszukiwarki TinEye (reverse image search). Okazało się, że to CEO YouTube 😅

Film jest wygenerowany przez AI, ale wygląda BARDZO realnie. Do tego wszystkie ujęcia pochodzą z prawdziwego nagrania z CEO (TinEye mi je podlinkował), tylko wsadzono mu w usta (i skorygowano ruch warg) moment, w którym prosi o kliknięcie linka z opisu.

OK - przeszedłem do opisu. Tam ciekawy trik, bo link prowadzi do aplikacji w domenie "app.goo.gl" (a więc googlowa domena!), która robi open redirect na phishing. URL prowadzi do pewnego znanego skracacza linków, a on otwiera dokument "NDA.PDF" - no prawie.

W moim przypadku zobaczyłem tylko info, że jestem userem mobilnym i mam wejść w linka z komputera. Ale ja przecież pracuję na komputerze 🤔 A! Zapomniałem, że Macbook to dla wielu nie komputer, wiec szybko dopisałem do user-agenta przeglądarki słowo "WINDOWS". Zadziałało 😏

Teraz zamiast komunikatu o urządzeniu mobilnym dostałem redirect na plik hostowany na Dropbox. "YouTube Partner Program Policy Update – Feb 2025.msi" Wygląda w pełni legitnie. Każda aktualizacja regulaminu to w końcu windowsowy instalator 🤷‍♂️

Wrzuciłem plik do darmowej wirtualnej maszyny z Windowsem w serwisie "Triage", aby zrobić analizę. Plik się uruchamia i na tym koniec. Nic więcej nie widać.

Raport z Triage pokazał: Malware 10/10. Wrzuciłem plik do serwisu Virustotal, ale wynik tylko 8/57. Słaba wykrywalność. Oprogramowanie zostało zidentyfikowane jako "Troyan Mikey". Kradnie dane z przeglądarek, zapisane hasła, informacje bankowe itp.

Krótko mówiąc: uruchamiając ten plik nie zaczniesz zarabiać na YT. Stracisz swój kanał, wszystkie zalogowane w przeglądarce konta i być może trochę kasy. Powiadomiłem wszystkich zainteresowanych (YT, Dropbox i skracacza linków + CERT) o problemie.