«Те, кто стоят за этой кампанией, которую мы связываем с группой хакеров, нанятых на русскоязычном форуме, заманивают жертву подложными совместными проектами (обычно превью антивирусов, сервисов VPN, плееров, графических редакторов или игр), захватывают управление каналом, а затем перепродают его либо используют для криптовалютных скамов», — пишет компания.

Компания пишет, что выявила больше тысячи доменов, созданных для захвата каналов. Кроме того, внутренняя защита позволила уменьшить поток фишинговых писем на 99,6% с мая этого года (что спровоцировало уход спамеров с Gmail на чешские почтовые сервисы). Восстановлены примерно 4 тысячи каналов, информация об атаках передана ФБР.

Google отмечает, что злоумышленники использовали известную десятилетие тактику перехвата файлов cookie. Ее возрождение они связывают с внедрением защиты аккаунтов двухфакторной аутентификацией: старая тактика в сочетании с социальной инженерией иногда позволяла ее обойти.

Атака начиналась с письма на официальную почту владельца канала с предложением сотрудничества. Если владелец соглашался, например, прорекламировать антивирус, ему посылалась ссылка на страницу загрузки вредоносной программы, замаскированной под этот продукт. Обманутая жертва устанавливала на компьютер один из известных хакерских инструментов, позволяющих перехватывать и пароли, и cookie. Тем самым злоумышленники получали доступ к аккаунту и меняли его контент на криптоскам.