СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:25
#ИБ

Фишинг на YouTube эволюционирует: от DMCA до Browser-in-the-Browser

Анализ фишинговых кампаний на YouTube, связанных с тематикой DMCA, показывает, что злоумышленники не только сохраняют прежние подходы, но и заметно усложняют свои методы. Если на первом этапе, в ноябре 2025 года, исследователи выявили IP-адреса и простые hash indicators, связанные со схемой DMCA Takedown, то к апрелю 2026 года был обнаружен альтернативный поток фишинга, использующий технику Browser-in-the-Browser для имперсонации входа в Google.

Этот сдвиг указывает на рост технической зрелости кампаний и подтверждает, что угроза остается устойчивой. Для пользователей и аналитиков это означает необходимость более внимательного анализа любых запросов, связанных с авторскими правами, входом в аккаунт и перенаправлением на внешние ресурсы.

Как работала первоначальная схема

Изначальная кампания была ориентирована на создателей YouTube и использовала социальную инженерию, чтобы обманом заставить их загрузить ВПО под предлогом решения проблем с жалобами на нарушение авторских прав. Для жертвы такой сценарий выглядел как попытка урегулировать претензию, однако на деле приводил к компрометации устройства или учетных данных.

Особенность инфраструктуры заключалась в высокой изменчивости: IP-адреса, связанные с фишинговой активностью, быстро становились неактивными. Это указывает на осознанную стратегию сокрытия атакующей инфраструктуры и затруднения аналитики по сетевым индикаторам.

При этом некоторые признаки оставались устойчивыми. В частности, уникальные fingerprints ответов C2 сохранялись и позволяли отслеживать связанную инфраструктуру даже при смене IP-адресов. Исследователи отмечают, что такая непрерывность в поведении облегчает идентификацию более широкого круга связанных malicious activities.

Признаки связанной инфраструктуры

Заметные IP-адреса, относящиеся к инфраструктуре C2, демонстрировали согласованные паттерны. Среди них:

  • self-signed certificates с единообразными соглашениями об именовании;
  • повторяющиеся хеши баннеров;
  • схожие признаки ответов C2;
  • общие шаблоны сетевого поведения.

Наличие одного и того же banner hash на нескольких IP-адресах усиливало уверенность исследователей в том, что речь идет о взаимосвязанной инфраструктуре, а не о разрозненных инцидентах. Такие индикаторы особенно ценны в условиях, когда злоумышленники оперативно меняют домены и серверы.

Новые домены и фишинговые векторы

В последних кампаниях prominently фигурировали домены, такие как dmca-notification.info, которые использовались в качестве основного фишингового вектора. Отдельно выделялся домен blacklivesmattergood4.com, выступавший конечной точкой для похищенных учетных данных.

Обход этих сайтов позволил выявить дополнительные связанные домены и элементы инфраструктуры. Это показывает, что злоумышленники используют techniques of clustering, чтобы связывать ресурсы в единую сеть и максимизировать воздействие на жертв.

Фишинговая приманка также включала специфические title tags, которые были связаны с множеством других доменов. Такая техника помогает усложнить обнаружение и затруднить автоматическую фильтрацию подозрительных ресурсов.

Почему исторические данные остаются важны

Постоянный этап разведки продолжает подчеркивать значимость исторических DNS данных, hash indicators заголовков и наблюдаемых шаблонов перенаправления. Именно эти источники позволяют связывать временные индикаторы с активными угрозами и восстанавливать полную картину инфраструктуры.

Исследователи подчеркивают, что динамичное и проактивное scanning domains имеет критическое значение для выявления масштаба фишинговых операций. Такой подход ускоряет реагирование и помогает выявлять не только отдельные домены, но и более широкую экосистему связанных malicious activities.

«Хотя технические детали этих фишинговых кампаний эволюционируют, фундаментальные тактики impersonation и account harvesting остаются неизменными».

Вывод

Материал демонстрирует, что фишинговые кампании, связанные с тематикой DMCA на YouTube, остаются устойчивой и адаптивной угрозой. Злоумышленники меняют домены, используют более сложные методы, такие как Browser-in-the-Browser, и маскируют инфраструктуру, но базовая цель остается прежней — имперсонация и сбор учетных данных.

Для защиты в таких условиях необходимы бдительный мониторинг, проверка доменных имен, анализ перенаправлений и использование адаптивных средств защиты, способных выявлять не только очевидные индикаторы, но и скрытые связи между кампаниями.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: