Come i canali YouTube compromessi diffondono truffe e malware

YouTube, tra le piattaforme social più popolari, è spesso bersaglio di cybercriminali che la sfruttano per promuovere truffe e distribuire malware. Le tecniche adottate variano, ma solitamente includono video che si spacciano per tutorial su software popolari o pubblicità di giveaway di criptovalute. In altri casi, i truffatori inseriscono link a siti web dannosi nelle descrizioni dei video o nei commenti, mascherandoli da risorse legittime.

Il furto di canali YouTube di successo amplifica ulteriormente il problema. Estendendo la portata delle campagne fraudolente a un vasto numero di utenti, i criminali massimizzano il loro impatto. I canali compromessi vengono riutilizzati per diffondere truffe legate alle criptovalute e malware che sottraggono informazioni, spesso tramite link a software piratati e contenuti infetti, come film e cheat per videogiochi.

Gli YouTuber che subiscono il furto degli account affrontano gravi conseguenze, tra cui la perdita di reddito e danni reputazionali.

Modalità di attacco sui canali YouTube

Il phishing è spesso il punto di partenza. Gli attaccanti creano siti web fasulli e inviano email che sembrano provenire da YouTube o Google, cercando di indurre le vittime a cedere le loro credenziali. Spesso, vengono offerte collaborazioni o sponsorizzazioni come esca, con allegati o link a file che dovrebbero contenere i dettagli dei termini e condizioni.

Questi attacchi diventano particolarmente problematici quando gli account non sono protetti da un’autenticazione a due fattori (2FA) o quando gli attaccanti riescono ad aggirare questa misura di sicurezza. Dalla fine del 2021, i creatori di contenuti sono obbligati a utilizzare l’autenticazione a due fattori sull’account Google associato al canale YouTube.

In alcuni casi, come nel furto del canale Linus Tech Tips con 15 milioni di iscritti, gli attaccanti hanno rubato i cookie di sessione dai browser delle vittime, riuscendo così a bypassare le verifiche di sicurezza addizionali. Altre volte, gli attaccanti utilizzano liste di username e password ottenute da violazioni passate o strumenti automatizzati per tentare numerose combinazioni di password fino a trovare quella corretta. Questo metodo è particolarmente efficace se le password sono deboli o comuni e se non viene utilizzata la 2FA.

Recentemente, l'AhnLab Security Intelligence Center (ASEC) ha riportato un aumento dei casi in cui i criminali informatici rubano canali YouTube, incluso uno con 800.000 iscritti, per distribuire malware come RedLine Stealer, Vidar e Lumma Stealer. Come descritto nell’ESET Threat Report H2 2023, Lumma Stealer ha attirato molta attenzione soprattutto nella seconda metà dello scorso anno. Questo infostealer a pagamento è noto per mirare a portafogli di criptovalute, credenziali di accesso e estensioni del browser per l'autenticazione a due fattori (2FA), oltre a esfiltrare informazioni dai computer compromessi. Come mostra l’ESET Threat Report H1 2024, questi strumenti continuano a rappresentare una minaccia significativa e spesso si spacciano per software di cheating o crack per videogiochi, anche tramite YouTube.

In alcuni casi, i criminali rubano account Google già esistenti e, in pochi minuti, creano e pubblicano migliaia di video per distribuire malware infostealer. Le vittime di questi attacchi possono vedere i loro dispositivi compromessi da malware in grado di violare anche gli account su altre piattaforme importanti come Instagram, Facebook, X, Twitch e Steam.

Prevenire i danni su YouTube

Per mantenere la sicurezza sulla piattaforma, è utile seguire questi consigli:

Utilizzare credenziali di accesso forti e uniche: creare password o passphrase robuste ed evitare di riutilizzarle su più siti. Considerare l'uso di passkey come forma aggiuntiva di autenticazione.

Adottare una forma robusta di 2FA: implementare la 2FA non solo sull’account Google, ma su tutti gli altri account. Preferire 2FA tramite app di autenticazione o chiavi di sicurezza hardware anziché metodi basati su SMS.

Cautela con email e link: essere scettici riguardo a email o messaggi che sembrano provenire da YouTube o Google, specialmente se richiedono informazioni personali o credenziali. Controllare l’indirizzo email del mittente e cercare segni di phishing. Evitare di cliccare su link sospetti o di scaricare allegati da fonti sconosciute. Lo stesso vale per app o software promossi su YouTube, a meno che non provengano da fonti verificate.

Aggiornare sistema operativo e software: assicurarsi che sistema operativo, browser e altri software siano aggiornati per proteggere contro vulnerabilità conosciute.

Monitorare l'attività dell'account: verificare regolarmente l’attività dell’account per rilevare azioni o tentativi di accesso sospetti. Consultare le linee guida di Google in caso di sospetto di compromissione del canale.

Restare informati: rimanere informati sulle ultime minacce informatiche e truffe online, incluse quelle su YouTube, per evitare di cadere vittima di attacchi.

Segnalare e bloccare contenuti sospetti: segnalare contenuti, commenti, link o utenti sospetti o dannosi a YouTube e bloccarli per impedire ulteriori contatti.

Proteggere i dispositivi: utilizzare software di sicurezza multilivello sui dispositivi per un’efficace protezione contro una varietà di minacce.

Articolo di Sabrina Curti, Marketing Manager di ESET Italia (in foto)