Google indique qu'un groupe de hackers recrutés sur un forum russophone cible depuis deux ans les YouTubeurs. Leur objectif ? S'emparer de chaînes afin d'y diffuser des arnaques au bitcoin et autres cryptomonnaies.

Les chaînes YouTube intéressent beaucoup certains hackers. C’est ce que révèle le Groupe d’Analyse des Menaces de Google (TAG), dans un billet publié sur son blog le 20 octobre. L’entité qui s’emploie à surveiller les campagnes de désinformation, de hacking ainsi que les tentatives d’escroqueries indique que les YouTubeurs sont ciblés depuis deux ans par un groupe de hackers recrutés sur un forum russophone.

Lorsque ces hackers parviennent à s’emparer d’une chaîne, précise le Groupe d’Analyse des Menaces de Google, « soit ils revendent leur accès au plus offrant, soit ils l’utilisent pour diffuser des scams dans le domaine des cryptomonnaies. » Un problème que les sociétés du secteur crypto commencent en effet à connaître. Fin 2020 sur Twitter, la plateforme d’échange de cryptomonnaies Gemini alertait ainsi sur le fait que deux chaînes YouTube avaient été « détournées par un hacker et déguisées de manière à ressembler à de fausses chaînes YouTube Gemini  », avec le nom de la société et son logo.

Des arnaques au bitcoin diffusées sur les chaînes piratées

Google confirme que ce type d’actions est récurrent. « Un grand nombre des chaînes piratées [par ce groupe de hackers] sont maquillées en vue de live-streamer des scams crypto  ». Généralement le nom de la chaîne, la photo de profil, et son contenu sont remplacés par des éléments copiant ceux des comptes de grandes plateforme d’échanges de cryptomonnaies. Les attaquants vont ensuite diffuser des vidéos qui font miroiter la possibilité de multiplier ses gains en cryptomonnaies, après une contribution initiale. « J’ai des amis qui ont commencé à commenter sur mon mur Facebook : ‘Manu c’est bizarre là ton délire avec des bitcoins’, racontait ainsi à Cyberguerre le YouTubeur Manutallurgy qui avait été confronté au problème il y a quelques mois. Dès que mes potes m’ont averti, je m’en suis occupé. J’ai vu qu’il y avait 7 ou 8 vidéos sur le bitcoin. » 

Pour s’emparer d’une chaîne YouTube, les hackers responsables de la campagne détectée par Google proposent aux vidéastes des collaborations commerciales bidon. « Beaucoup de créateurs YouTube laissent une adresse mail sur leur chaîne pour les partenariats commerciaux. Les attaquants écrivent donc à cette adresse en se faisant passer pour une société existante et en affirmant vouloir tisser un partenariat publicitaire vidéo  », détaille le Groupe d’Analyse des Menaces de Google.

Une caméra de Youtubeur // Source : CCO/Pixabay

Les hackers se font généralement passer pour des sociétés éditant des logiciels (VPN, antivirus, outil d’édition photo, etc.). Si leur cible accepte le partenariat commercial, ils lui envoient un lien de téléchargement de leur supposé software à promouvoir. Mais lorsqu’elles cliquent sur le lien, c’est un malware spécialisé qui s’exécute. Ce logiciel malveillant récupère les cookies du navigateur de la machine de la victime et souvent également ses mots de passe.

Une campagne d’attaque sophistiquée

Cyberguerre avait pu s’entretenir cet été avec plusieurs YouTubeurs français ayant été confrontés à ce type d’attaque et nous avions été surpris, à l’époque, du degré de sophistication de cette campagne. Les propositions de partenariats étaient très bien ciblées et les échanges aussi personnalisés que crédibles, avec les codes du milieu des partenariats et des phrases dans un anglais parfait. « Ils avaient même prévu une liste de mots interdits à ne pas utiliser dans la vidéo », soulignait le créateur de la chaîne Super Walker qui avait lui aussi fait les frais de cette attaque. Certains des malwares utilisés pour dérober les comptes des YouTubeurs, étaient du reste assez sophistiqués. L’un de ceux que Cyberguerre avait pu analyser à l’époque permettait par exemple de se connecter à un compte sans avoir à fournir un mot de passe ou le code de la double authentification.

À noter que si la majorité des chaînes détournées par le groupe de hackers pointé par Google ont été utilisées pour diffuser des scams crypto, Google précise qu’une portion des accès obtenus a été revendue sur des marchés spécialisés dans ce genre de trafic. Ces chaînes piratées se revendent entre 3 et 4000 $ en fonction de leur nombre d’abonnés.

Crédit photo de la une : Viktor Forgacs / Unsplash

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux