Google indique qu’un groupe de hackers recrutés sur un forum russophone cible depuis deux ans les YouTubeurs. Leur objectif ? S’emparer de chaînes afin d’y diffuser des arnaques au bitcoin et autres cryptomonnaies.

Les chaînes YouTube intéressent beaucoup certains hackers. C’est ce que révèle le Groupe d’Analyse des Menaces de Google (TAG), dans un billet publié sur son blog le 20 octobre. L’entité qui s’emploie à surveiller les campagnes de désinformation, de hacking ainsi que les tentatives d’escroqueries indique que les YouTubeurs sont ciblés depuis deux ans par un groupe de hackers recrutés sur un forum russophone.

Lorsque ces hackers parviennent à s’emparer d’une chaîne, précise le Groupe d’Analyse des Menaces de Google, « soit ils revendent leur accès au plus offrant, soit ils l’utilisent pour diffuser des scams dans le domaine des cryptomonnaies. » Un problème que les sociétés du secteur crypto commencent en effet à connaître. Fin 2020 sur Twitter, la plateforme d’échange de cryptomonnaies Gemini alertait ainsi sur le fait que deux chaînes YouTube avaient été « détournées par un hacker et déguisées de manière à ressembler à de fausses chaînes YouTube Gemini  », avec le nom de la société et son logo.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

Gérer mes choix

Des arnaques au bitcoin diffusées sur les chaînes piratées

Google confirme que ce type d’actions est récurrent. « Un grand nombre des chaînes piratées [par ce groupe de hackers] sont maquillées en vue de live-streamer des scams crypto  ». Généralement le nom de la chaîne, la photo de profil, et son contenu sont remplacés par des éléments copiant ceux des comptes de grandes plateforme d’échanges de cryptomonnaies. Les attaquants vont ensuite diffuser des vidéos qui font miroiter la possibilité de multiplier ses gains en cryptomonnaies, après une contribution initiale. « J’ai des amis qui ont commencé à commenter sur mon mur Facebook : ‘Manu c’est bizarre là ton délire avec des bitcoins’, racontait ainsi à Cyberguerre le YouTubeur Manutallurgy qui avait été confronté au problème il y a quelques mois. Dès que mes potes m’ont averti, je m’en suis occupé. J’ai vu qu’il y avait 7 ou 8 vidéos sur le bitcoin. » 

Pour s’emparer d’une chaîne YouTube, les hackers responsables de la campagne détectée par Google proposent aux vidéastes des collaborations commerciales bidon. « Beaucoup de créateurs YouTube laissent une adresse mail sur leur chaîne pour les partenariats commerciaux. Les attaquants écrivent donc à cette adresse en se faisant passer pour une société existante et en affirmant vouloir tisser un partenariat publicitaire vidéo », détaille le Groupe d’Analyse des Menaces de Google.

Image d'erreur

Une caméra de Youtubeur // Source : CCO/Pixabay

Les hackers se font généralement passer pour des sociétés éditant des logiciels (VPN, antivirus, outil d’édition photo, etc.). Si leur cible accepte le partenariat commercial, ils lui envoient un lien de téléchargement de leur supposé software à promouvoir. Mais lorsqu’elles cliquent sur le lien, c’est un malware spécialisé qui s’exécute. Ce logiciel malveillant récupère les cookies du navigateur de la machine de la victime et souvent également ses mots de passe.

Une campagne d’attaque sophistiquée

Cyberguerre avait pu s’entretenir cet été avec plusieurs YouTubeurs français ayant été confrontés à ce type d’attaque et nous avions été surpris, à l’époque, du degré de sophistication de cette campagne. Les propositions de partenariats étaient très bien ciblées et les échanges aussi personnalisés que crédibles, avec les codes du milieu des partenariats et des phrases dans un anglais parfait. « Ils avaient même prévu une liste de mots interdits à ne pas utiliser dans la vidéo », soulignait le créateur de la chaîne Super Walker qui avait lui aussi fait les frais de cette attaque. Certains des malwares utilisés pour dérober les comptes des YouTubeurs, étaient du reste assez sophistiqués. L’un de ceux que Cyberguerre avait pu analyser à l’époque permettait par exemple de se connecter à un compte sans avoir à fournir un mot de passe ou le code de la double authentification.

À noter que si la majorité des chaînes détournées par le groupe de hackers pointé par Google ont été utilisées pour diffuser des scams crypto, Google précise qu’une portion des accès obtenus a été revendue sur des marchés spécialisés dans ce genre de trafic. Ces chaînes piratées se revendent entre 3 et 4000 $ en fonction de leur nombre d’abonnés.

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !

YouTube

YouTube

Télécharger gratuitement