Кампания по краже учётных записей YouTube-авторов продолжает развиваться. Если в конце 2025 года злоумышленники рассылали поддельные жалобы DMCA (закон об авторском праве в цифровую эпоху) и заманивали жертв прямым скачиванием вредоносных файлов, то уже в апреле 2026 года они применили более изощрённый метод. Исследователи из компании Malwarebytes зафиксировали новую атаку, в которой используется так называемая техника "браузер в браузере" (Browser-in-the-Browser). Злоумышленники создают поддельную страницу входа в Google, которая визуально неотличима от настоящей. Жертва вводит свои данные, а они уходят напрямую похитителям.
Описание
Однако главный вопрос не в описании самой атаки. Намного важнее понять, можно ли с помощью уже известных индикаторов компрометации обнаружить новую инфраструктуру мошенников. Специалисты компании Validin, занимающейся разведкой угроз, решили проверить это на практике. Они взяли за основу данные, опубликованные Malwarebytes, и применили собственные методы поиска. Результат показал, что даже после публичного разоблачения мошенники не спешат полностью обновлять свои серверы.
Сначала исследователи проверили "старые" индикаторы, которые были актуальны в ноябре 2025 года. Например, IP-адреса 101.99.92[.]246 и 101.99.89[.]94, которые использовались для размещения фишинговых страниц, перестали быть активными уже через несколько дней после первой публикации. Лишь один новый домен (49.amazon-us953[.]com) стал резолвиться на второй адрес. То же самое произошло с CSS-классами и хешами favicon (изображений на вкладке браузера): они либо перестали появляться в новых запросах, либо не использовались вообще.
Зато некоторые элементы, связанные с командными серверами (C2), остались живы. Речь идёт о так называемых баннерных хешах. Это уникальные отпечатки ответа сервера, которые позволяют понять, что за ним стоит одно и то же программное обеспечение. Один из таких хешей - 5dab1fa5f7d42e5eca2385ce3dad1f03 - продолжал появляться на новых IP-адресах в течение нескольких месяцев после поста. Исследователи сообщили в своём анализе, что нашли как минимум пять новых адресов с этим же баннером. Причём все они использовали самоподписанные сертификаты со схожими названиями вроде "SilicoBrain Networks".
Не менее интересная картина сложилась с хешами HTTP-заголовков. Они фиксируют особенности ответа веб-сервера, скрытого за Cloudflare. Даже когда менялись доменные имена, сами шаблоны ответов оставались прежними. В результате Validin смог найти ещё около десятка свежих доменов, которые, скорее всего, относятся к той же преступной группе. Вот лишь некоторые из них: domain-monitoring.cc, fileless-storage-s3.cc, hardware-office.cc, memory-protection-layer1.cc, alphazero1-endscape.cc, holiday-updateservice.com, vvork-space.com.
Атака, описанная Malwarebytes в апреле 2026 года, использует другую схему фишинга, но оставляет такие же инфраструктурные следы. Основной фишинговый сайт - dmca-notification.info - был заблокирован Cloudflare вскоре после обнаружения. Однако Validin успел его просканировать и зафиксировал несколько ключевых признаков. Самый простой из них - заголовок страницы. Он выглядел как "Youtube | Copyright strikes" (с подменой символов). Специалисты запустили поиск по этому заголовку и обнаружили сотни других доменов, использовавших точно такой же текст с февраля по май 2026 года. Правда, далеко не все из них отмечены как вредоносные в общедоступных реестрах.
Второй признак - редирект. Когда жертва попадает на фишинговый сайт, её перенаправляют на страницу сбора паролей, расположенную по адресу blacklivesmattergood4.com. Этот домен перенаправляет посетителя на внутренний путь /youtube/main/. Проверив этот шаблон, исследователи нашли почти сто доменов с точно таким же поведением. Все они, судя по всему, используются в одной и той же мошеннической схеме. Это означает, что кампания не ограничивается несколькими сайтами, а охватывает сотни адресов, которые постоянно меняются.
Почему это важно? Во-первых, традиционные индикаторы - IP-адреса, имена файлов - устаревают мгновенно. Как только о них пишут в СМИ, злоумышленники их меняют. Во-вторых, более стойкие следы, такие как шаблоны ответов сервера или структура перенаправлений, остаются прежними в течение долгого времени. Именно их можно использовать для поиска новой инфраструктуры. Для владельцев YouTube-каналов это означает только одно: риск остаться без аккаунта не исчезает. Мошенники постоянно совершенствуют свои методы, и простого антивируса тут недостаточно.
Эксперты рекомендуют обращать внимание на любые неожиданные письма о нарушении авторских прав. Переходить по ссылкам в таких сообщениях нельзя. Лучше зайти в студию YouTube напрямую через официальный сайт и проверить статус жалобы. Если же вас просят ввести пароль от Google на подозрительной странице, стоит проверить адресную строку: в настоящем Google URL всегда начинается с accounts.google.com. В случае с техникой "браузер в браузере" фальшивое окно может открыться внутри настоящего браузера, но адресная строка остаётся прежней или отсутствует. Это ключевой признак обмана.
Разведка угроз показывает, что злоумышленники не остановятся. Они продолжат адаптировать свои инструменты и менять домены. Но, как продемонстрировали специалисты Validin, даже после смены сотен адресов можно выявить общую инфраструктуру. Главное - не полагаться только на даты блокировок, а использовать долгоживущие цифровые отпечатки. Именно они позволяют заглянуть в будущее и понять, куда движется следующая атака.
Индикаторы компрометации
Domains
- 079890-kuryr-ord.info
- abuse-desk.com
- abuse-hub.com
- alert-notification.info
- appverifybrandleylogin.top
- appverifybrandleylogin2.top
- app-verify-brandleymedia.us
- asdjifhvliosudhfgv3453.top
- audio-compliance.media
- au-inform-check.top
- auth-identity.me
- auth-secure-connect.online
- basiclogin.com
- beast-info.com
- blacklivesmattergood.life
- blacklivesmattergood4.com
- brandleymedia-verify.com
- brandleystudio-verify.com
- brendleygroup.app
- check-verify-id.online
- check-yt-inform.online
- collabixagency.network
- collabix-auth.com
- complaints-report.cfd
- complaints-report.info
- complaints-report.sbs
- compliance-video.casa
- compliance-video.icu
- compliance-video.media
- compliance-video.sbs
- content-compliance.media
- copsforapsslay.com
- copycompylas.com
- copyrightviolation.pro
- cz10948903id.shop
- dmca.casa
- dmca.forum
- dmca-alert.info
- dmca-alerts.info
- dmca-audio.com
- dmcacheck.cfd
- dmca-check.com
- dmca-compliance.media
- dmca-content.media
- dmcadef.com
- dmca-desk.com
- dmcafind.cfd
- dmca-find.cfd
- dmca-gov.cfd
- dmca-gov.sbs
- dmcaguard.cyou
- dmca-hub.report
- dmcainfo.cfd
- dmca-info.cfd
- dmcainfo.com
- dmcainfo.media
- dmcalerts.com
- dmcamedia.cfd
- dmca-media.cfd
- dmca-media.com
- dmca-notice.info
- dmca-notice.net
- dmca-notification.info
- dmca-notify.casa
- dmca-notify.click
- dmca-notify.cyou
- dmca-notify.ink
- dmca-notify.my
- dmca-notify.rest
- dmca-notify.top
- dmca-notify.xyz
- dmca-report.click
- dmca-scan.com
- dmca-status.com
- dmca-strike.casa
- dmcastrike.com
- dmca-strike.com
- dmca-strike.report
- dmca-strike.team
- dmca-strike.works
- dmca-support.click
- dmca-takedown.info
- dmcatracker.com
- dmcatracker.cyou
- dmcatube.cfd
- dmcaverify.com
- dmca-verify.com
- dmcavideo.cfd
- dmca-video.cfd
- dmca-video.com
- dmca-youtube.cfd
- dns-verify-check.click
- docuteamwork.com
- domenadfga.com
- domenayx.com
- dsfoihvgoieurhverify.top
- eco-gear.club
- eruigfhisedfrgh-verif.top
- ex-test-domain.click
- feknverfno34-verify.top
- flexibleilifullst.com
- g45oguihsdokj30verify.top
- id0024997.icu
- id0144871.sbs
- id0976443.icu
- id240941.com
- id240941.icu
- id7771029.icu
- id9910875.sbs
- identifime-studio.com
- identify-studio.com
- ins-collecte.com
- ins-denom.com
- ins-guinee.com
- itu-ramusgrandst.online
- joinbuddyxom.com
- joinnnvusdy.com
- lodocushgor.com
- lyboy-domains.xyz
- matreshkabalalaika.com
- mavibardak.com
- media-dmca.cfd
- mediasync.blog
- mediasync.click
- mediasync.cv
- mediasync.ink
- mediasync.my
- mediasync.one
- mediasync.sh
- mediasync.top
- mediasync.video
- mediasync-cooperation.info
- mediasync-cooperation.sbs
- mobiledownloadapp.com
- noticetakedown.org
- notifyhub.lat
- openid-confirm.info
- openid-info.click
- panoramas.media
- petrushkaskypka.com
- pltba09083.shop
- processchanneling.com
- processingtoyourcab.com
- processingtoyourcabinet.com
- reasonforcom.com
- reaunt-sevice-id.top
- remove-strike.pro
- report-verify.com
- rgph.gov.gn
- rtuihgoiujdfhgjbv-verif.top
- sddvwsed-ver88.top
- sjsisjidkdj.com
- ssl-connecti.com
- ssl-host.org
- strike-check.com
- strike-monitor.com
- strikeremove.pro
- strikeverify.com
- strike-verify.com
- studio-identify.com
- support-dmca.click
- sweep.gl
- sweep.video
- sweepauth.ac
- sweep-cooperation.info
- sweep-cooperation.world
- sweeply.agency
- sweeply.at
- sweeply.blog
- sweeply.cc
- sweeply.digital
- sweeply.media
- sweeply.my
- sweeply.run
- swepauth.com
- sync-creators.com
- system-identify.com
- system-identity.me
- takedown-alert.info
- takedownalerts.com
- takedownalerts.org
- takedowncontents.com
- takedowndmca.org
- takedown-notification.info
- takedownrequest.com
- techdifferentst.com
- technicalesytexg.com
- technicallydiff.com
- technicallystuff.com
- technicallystuffoff.com
- techsdifferents.com
- toku.finance
- uniswap-awards.org
- uniswap-labs.org
- v2auth-f43fui3.cc
- v2oauth-verf33wd.cc
- verify-35iugh777.top
- verify-3frewui9of.top
- verify-brandleypage.top
- verify-dns-id.to
- verify-fg34fg778ydsvcg.cc
- verify-fu34fuhasfifii99.cc
- verify-studio.com
- verify-v3u4f3u4hf.top
- video-compliance.media
- wordsmithcopywriting.com
- your-exmaple-domain.click
- youtube-dmca.cfd
- youtube-notice.net
- yt-check-verifi.me
- ytstrike.pro
