Ловушка для блогеров: фальшивые бренды пробивают защиту YouTube

Как массовая рассылка размыла границы между сотрудничеством и угрозой.

На YouTube обрушилась новая фишинговая кампания, направленная на создателей контента. Неизвестная группировка использует автоматизированную инфраструктуру для рассылки поддельных предложений о сотрудничестве и рекламных интеграциях. В результате успешной атаки пользователи теряют доступ к своим аккаунтам и конфиденциальным данным.

По данным аналитической платформы CloudSEK, злоумышленники отправили вредоносные письма более 200 тысячам пользователей YouTube. Атака проводится с использованием 340 SMTP-серверов, каждый из которых отправляет до тысячи писем с одного адреса электронной почты. Под видом предложений от известных брендов жертвам предлагают оплату за короткую рекламу, но вместо контрактов скрываются вредоносные загрузчики.

Зловредные ссылки тщательно замаскированы под вложения в виде Word, PDF- или Excel-документов. Файлы размещаются на легитимных платформах, таких как OneDrive, и защищены паролями для обхода антивирусных проверок. При открытии документов на устройство загружается Lumma Stealer — программа для кражи данных.

Эксперт CloudSEK Майанк Сахария пояснил, что письма отправляются с поддельных или взломанных адресов, из-за чего они кажутся доверенными. Вредоносное ПО крадёт пароли, финансовые данные и предоставляет удалённый доступ к заражённой системе.

Для сбора адресов злоумышленники используют парсеры, автоматически находящие электронные почты YouTube-каналов. Массовая отправка фишинговых писем автоматизируется с помощью платформ, таких как Murena и Onet.eu. Хакеры применяют шаблоны для создания временных учётных записей и сообщений, маскируя себя под PR- и медийные компании.

Инфраструктура атаки включает более 340 SMTP-серверов, 26 прокси-сетей SOCKS5 и 46 удалённых рабочих столов для сокрытия следов. Исследователи смогли получить доступ к учётным записям Murena.io и подтвердили масштаб кампании.

Злоумышленники нацелены на специалистов в сфере маркетинга и продаж, занимающих руководящие позиции, поскольку именно они чаще взаимодействуют с предложениями о сотрудничестве.

При запуске вредоносного файла Lumma Stealer загружает дополнительные компоненты, включая «webcams.pif» и «RegAsm.exe», и отключает антивирусные решения. Lumma Stealer представляет собой сервис по подписке для кражи информации. Программа собирает пароли, данные криптокошельков и другие конфиденциальные файлы, а также позволяет управлять заражённым устройством удалённо.

Эксперты предупреждают о необходимости повышенной осторожности при получении электронных писем с вложениями и предложениями от незнакомых отправителей. Масштаб кампании и сложность инфраструктуры указывают на профессиональный уровень подготовки атакующих.