Жуки Acanthaspis petax питаются муравьями, а из экзоскелетов сооружают себе на спине камуфляж для маскировки. Что же общего у них и спам-рассылок? И те, и другие прикрывают свою активность с помощью множества экзоскелетов или аккаунтов-пустышек для охоты и ухода от хищников либо антиспам-систем.
Ранее мы рассказывали, как злоумышленники научились рассылать фишинговые сообщения, прикрываясь Google Looker Studio.Теперь им удалось “приручить” еще один сервис Google - YouTube.
Каким образом спамеры использовали популярный видеохостинг, расскажем в этой статье.
Это письмо вызывает подозрение
В мае 2024 года специалисты компании F.A.C.C.T. c помощью автоматизированной системы защиты электронной почты Business Email Protection зафиксировали массовые спам-рассылки якобы от имени YouTube на электронные почтовые ящики сотрудников крупных компаний в России.
В подобных письмах сообщалось, что под одним из видеороликов на комментарий был оставлен ответ. Название ролика в письмах сообщало о “новом проекте от именитого фин-бренда”.
Пример того, как выглядели подобные письма:
Конечно же, получатель не имел никакого отношения ни к видеоролику, ни к оставленному комментарию, ни к имени, отображаемому в письме. Это должно насторожить пользователя, однако любопытство может взять свое.
Так потенциальная жертва из интереса может перейти по ссылке для того, чтобы посмотреть отправленный ответ. Почему же такой пользователь является жертвой? Потому что на данном моменте он становится участником продуманной мошеннической схемы.
Скам или нет?
Если перейти по ссылке из описания к видео, то мы попадаем на ресурс, где для начала нам встречается незамысловатая капча.
Капча - это часто встречающийся способ защиты ресурсов. Однако в данном случае с ней не все так просто: если присмотреться, можно заметить, что выражение не меняется при обновлении страницы.
Исходный код дает нам четкий и однозначный ответ на вопрос, почему это происходит:
Выражение банально «захардкожено», а скрипт всегда проверяет, что в поле ввода введено «16». Капча нужна этому сайту не для защиты от атак, а для того, чтобы скрыть дальнейшее содержимое подальше от глаз систем информационной безопасности, автоматически анализирующих содержимое страниц по ссылкам, размещенным, например, в электронных письмах.
Дальше потенциальную жертву ждет классический инфоскам. После капчи ее встречает скрипт с опросом, определяющий финансовое положение. Завершится он вводом персональных данных.
Через некоторое время с жертвой обязательно свяжется “специалист”, который представится персональным менеджером, помогающим новому клиенту в открытии счета и первых шагах. Все деньги, которые клиент переведет на этот счет, чтобы «начать зарабатывать», окажутся в руках мошенников.
Как спамерам удалось прикрыться сервисом YouTube?
Внимание: дальнейшее описание приводится исключительно в исследовательских целях.
Конечно же, платформа не подозревает, что ее имени кто-то рассылает письма. Алгоритм действий злоумышленников:
- Спамеры зарегистрировали новый YouTube-канал и для того, чтобы придать ему реалистичный вид и вывести его из подозрений платформы, разместили на нем несколько видеороликов различной тематики. Помимо с “подборкой приколов” и видео с животными, авторы канала опубликовали видео “НОВЫЙ ПРОЕКТ ..”, ссылка на которое присутствовала в одном из рассмотренных писем.
2. Затем с другого аккаунта они оставили комментарий под указанной видеозаписью.
3. От третьего аккаунта спамеры дали ответ на комментарий.
4. В результате письмо с уведомлением, которое было сформировано YouTube c корректной DKIM-подписью, массово рассылается жертвам.
Таким образом, рассылка не связана с какой-либо уязвимостью платформы или лазейкой в алгоритмах ее работы. В данном случае сервис обеспечил только получение одного подлинного письма, которое впоследствии массово рассылалось с собственных серверов спамеров.
Подробнее о том, как специалисты выявили спам-рассылку, читайте по этой ссылке.
Оставайтесь в курсе актуальных новостей в сфере информационной безопасностей и подписывайтесь на канал “Кибербез по фактам”, а также на наш телеграм-канал.