Zunächst übernehmen die Bedrohungsakteure ein beliebtes YouTube-Konto, um dann dessen Seite so umzugestalten, dass sie einer realen Krypto-Börse ähnelt. Diese illegalen Konto-Übernahmen werden durch Phishing-Angriffe erleichtert, und in den Phishing-E-Mails wird den YouTubern dann eine attraktive Kooperation angeboten, im Zuge derer sie für eine neue Antiviren-Software werben sollen.

Der betroffene YouTube-Influencer wird dann auf eine mit Malware verseuchte Landing Page verwiesen und erhält dort eine PDF-Datei, die seinen Rechner mit einer Malware infiziert, die Cookies stiehlt. Sobald das Ziel infiziert ist, nimmt sich die Malware Browser-Cookies vom Computer des Opfers und lädt sie auf die Command & Control-Server des Cyberkriminellen hoch.

Die Cookies werden schließlich für einen "Pass-the-Cookie"-Angriff verwendet - eine Hijacking-Technik, die den Zugriff auf Benutzerkonten ermöglicht. Sobald nun auf die YouTube-Kanäle zugegriffen wird, werden diese zu Krypto-Börsen umbenannt, anschließend geht der eigentliche Betrug von statten. Den Abonnenten des infizierten YouTubers, wird fälschlicherweise Kryptowährung in Form von Werbegeschenken im Austausch für eine kleine Gebühr versprochen.

Quelle: KnowBe4 (ots)