• Perspective
Publié le 20 mai 2022

Phishing : Du vol de comptes YouTube, au vol de cryptomonnaies

De nombreux pirates essayent chaque jour de compromettre des comptes de youtubeurs, célèbres ou non. Ces chaines YouTube sont de plus en plus dans le viseur de ces fameux hackers, et les attaques se multiplient de façon exponentielle. Mais comment autant de chaines se font-elles pirater ? Et que recherchent les attaquants ?

Méthodologie

Les partenariats et sponsors sont des ressources très intéressantes pour les youtubeurs qui désirent gagner de l’argent. De nombreux e-mails sont envoyés dans les boites mails professionnelles des youtubeurs avec des propositions de partenariat ou de sponsoring très alléchantes.

Pour joindre ces fameux youtubeurs, les personnes malveillantes envoient des e-mails en se faisant passer pour une marque fictive ou réelle (usurpation d’identité) cherchant à collaborer avec eux.

Dès que le youtubeur se trouve intéressé par la collaboration, l’attaquant envoie un autre mail décrivant la façon dont le youtubeur doit promouvoir le produit. Ce mail est accompagné d’un lien malveillant.

Ce lien permet généralement de télécharger un fichier zip comportant les contrats et le produit (par exemple un VPN).

Sauf que ce fichier zip contient en fait des fichiers exécutables se faisant passer pour des contrats et le produit.

Après avoir extrait le fichier exécutable de l’archive zip, l’antivirus ne détectera pas que c’est en fait un exécutable malveillant.

La taille du fichier exécutable est la clé pour passer à travers les antivirus. Un fichier très volumineux (par ex 800 MB) ne verra jamais son contenu vérifié par un antivirus. Si vous faites le test sur le célèbre site « VirusTotal », vous ne pouvez uploader qu’un fichier de taille 650 MB maximum. L'exécutable reçu par les youtubeurs ne peut donc pas être testé pour vérifier s’il est malveillant ou non.

Mais que contiennent ces fichiers exécutables ?

Les fichiers exécutables reçus par le youtubeur sont en fait des malwares de type « Information Stealer » ou vol d’informations en français. Le but de ces logiciels malveillants est de récupérer les cookies de session, des identifiants et des numéros de cartes de crédit, principalement dans les navigateurs. Après les avoir récupérés, ils sont envoyés aux serveurs « Command&Control » des attaquants.

Les cookies de sessions permettent de confirmer l’authentification du youtubeur à son compte. Cette technique, appelée « Pass-The-Cookie », permet de contourner l’authentification multifacteurs et est très efficace dans ce cas précis.

Que cherchent à faire les attaquants ?

Après avoir réussi à se connecter au compte d’un youtubeur, les attaquants lancent généralement un live parlant d’un évènement très important concernant une cryptomonnaie.

Cet évènement est un piège tendu aux utilisateurs de YouTube, qui a pour but de les escroquer.

Pour ce faire, le live montre généralement une personne importante dans le monde de la cryptomonnaie (par exemple Elon Musk), ce qui a pour but de rendre cet évènement le plus réaliste possible.

Par la suite, une demande d’envoi de cryptomonnaie est demandée pour pouvoir participer à l’évènement avec la possibilité de gagner énormément de cryptomonnaie si l’on participe.

Dès l'envoi de votre cryptomonnaie, il est déjà trop tard. Vous avez perdu votre argent.

Comment se protéger ?

Pour les youtubeurs, il faut toujours vérifier la source des mails qui sont envoyés dans vos boites professionnelles. Par exemple, si vous voyez « @gmail » dans l’adresse e-mail, il y a de très grandes chances pour que cela soit une arnaque. Vous pouvez aussi vérifier si la marque existe bel et bien en cherchant leurs réseaux sociaux, et en envoyant ensuite un message leur demandant s’ils vous ont bien envoyé un mail de collaboration.

Concernant les utilisateurs, vous faites bien sûr ce que vous voulez avec votre argent. Cependant, gardez en tête que si quelqu'un annonce vouloir vous donner de l'argent, c'est surement une arnaque... Surtout quand vous devez en envoyer au préalable !

Références

https://www.vice.com/en/article/m7jxm8/hackers-hijacked-popular-youtube-channels-bitcoin-scams 

https://www.numerama.com/cyberguerre/929953-comment-des-pirates-reussissent-a-hacker-des-chaines-youtube-avec-un-simple-mail.html

https://www.youtube.com/watch?v=5FzsM3V5xRo&t=88s

Article rédigé par
La Minute Cyber