Nowe złośliwe oprogramowanie YTStealer kradnie konta twórców YouTube

Nowe złośliwe oprogramowanie do kradzieży informacji o nazwie YTStealer atakuje twórców treści YouTube i próbuje ukraść ich tokeny uwierzytelniające oraz przejąć ich kanały.

W przestrzeni, w której wielu złodziei informacji rywalizuje o uwagę cyberprzestępców, istnienie YTStealera i jego niezwykle wąskiego zainteresowania jest osobliwe.

Według raportu opublikowanego dzisiaj przez Intezer, skupienie się na jednym celu dało autorom YTStealer możliwość bardzo efektywnej operacji kradzieży tokenów, obejmującej zaawansowane, specjalistyczne sztuczki.

Kierowanie do twórców treści YouTube

Ponieważ złośliwe oprogramowanie YTStealer atakuje twórców YouTube, większość jego dystrybucji wykorzystuje przynęty podszywające się pod oprogramowanie, które edytuje filmy lub działa jako zawartość nowych filmów.

Przykłady oprogramowania podszywającego się pod inne oprogramowanie, które zawiera złośliwe instalatory YTStealer, obejmują OBS Studio, Adobe Premiere Pro, FL Studio, Ableton Live, Antares Auto-Tune Pro i Filmora.

W innych przypadkach, atakując twórców treści do gier, YTStealer podszywa się pod mody do Grand Theft Auto V, kody do Counter-Strike Go i Call of Duty, grę Valorant lub hacki do Robloxa.

Badacze zauważyli również pęknięcia i generatory tokenów dla Discord Nitro i Spotify Premium przenoszących nowe złośliwe oprogramowanie.

Według Intezera YTStealer jest zwykle łączony z innymi złodziejami informacji, takimi jak niesławne RedLine i Vidar. W związku z tym jest on najczęściej traktowany jako wyspecjalizowany „bonus” upuszczany wraz ze złośliwym oprogramowaniem, którego celem jest kradzież haseł z szerszego zakresu oprogramowania.

Funkcjonalność YTStealer

Złośliwe oprogramowanie YTStealer uruchamia pewne testy anty-piaskownicy przed uruchomieniem na hoście, wykorzystując w tym celu narzędzie Chacal o otwartym kodzie źródłowym.

Jeśli zainfekowana maszyna zostanie uznana za prawidłowy cel, złośliwe oprogramowanie analizuje pliki bazy danych SQL przeglądarki, aby zlokalizować tokeny uwierzytelniania YouTube.

Następnie weryfikuje je, uruchamiając przeglądarkę internetową w trybie bezgłowym i dodając skradziony plik cookie do swojego sklepu. Jeśli jest prawidłowy, YTStealer zbiera również dodatkowe informacje, takie jak:

• Nazwa kanału YouTube
• Liczba subskrybentów
• Data utworzenia
• Stan zarabiania
• Stan oficjalnego kanału wykonawcy

Uruchomienie przeglądarki internetowej w trybie bezgłowym sprawia, że ​​cała operacja staje się niewidoczna dla ofiary, która nie zauważyłaby niczego dziwnego, chyba że dokładnie przyjrzy się uruchomionym procesom.

Aby kontrolować przeglądarkę, YTStealer używa biblioteki o nazwie Rod, narzędzia szeroko stosowanego do automatyzacji sieci i skrobania. W związku z tym wydobycie informacji z kanału YouTube odbywa się bez ręcznej interwencji ze strony cyberprzestępcy.

Konta sprzedawane w ciemnej sieci

YTStealer jest w pełni zautomatyzowany i nie rozróżnia małych i dużych kont YouTube, kradnąc je wszystkie i pozwalając operatorom ocenić ich połów później.

Intezer uważa, że ​​skradzione konta YouTube są sprzedawane w ciemnej sieci, a ceny zależą od wielkości kanału. Oczywiście im większy i bardziej wpływowy kanał YouTube, tym droższy będzie zakup na rynkach dark web.

Nabywcy tych kont zwykle używają tych skradzionych plików uwierzytelniających do przejmowania kanałów YouTube w celu różnych oszustw, zwykle kryptowalut, lub żądania okupu od rzeczywistych właścicieli.

Jest to szczególnie niebezpieczne dla twórców treści YouTube, ponieważ nawet jeśli ich konta są bezpieczne dzięki uwierzytelnianiu wieloskładnikowemu, tokeny uwierzytelniania ominą MFA i pozwolą cyberprzestępcom zalogować się na ich konta.

Dlatego sugeruje się, aby twórcy YouTube okresowo wylogowywali się ze swoich kont, aby unieważnić wszystkie tokeny uwierzytelniające, które mogły zostać wcześniej utworzone lub skradzione.