Ένα νέο malware κλοπής πληροφοριών με το όνομα YTStealer στοχεύει content creators (δημιουργούς περιεχομένου) στο YouTube και προσπαθεί να κλέψει τα authentication tokens με τελικό στόχο την κλοπή των καναλιών τους.
Σύμφωνα με μια αναφορά που δημοσιεύτηκε από την Intezer, το YTStealer malware είναι εξοπλισμένο με χρήσιμα χαρακτηριστικά που του επιτρέπουν να είναι πολύ αποτελεσματικό στην κλοπή των tokens.
Προσοχή! Το YTStealer malware στοχεύει YouTube creators
Δεδομένου ότι το κακόβουλο λογισμικό YTStealer στοχεύει δημιουργούς περιεχομένου του YouTube, μεταμφιέζεται σε λογισμικά επεξεργασίας βίντεο ή λειτουργεί ως περιεχόμενο για νέα βίντεο.
 στο YouTube και προσπαθεί){kind=link}
Δείτε επίσης: Malware ZuoRAT: Στοχεύει routers SOHO σε Βόρεια Αμερική και Ευρώπη
Για παράδειγμα, οι χειριστές του YTStealer εκμεταλλεύονται τα OBS Studio, Adobe Premiere Pro, FL Studio, Ableton Live, Antares Auto-Tune Pro και Filmora για να δελεάσουν και να ξεγελάσουν τους creators.
Σε άλλες περιπτώσεις, όπου οι στόχοι είναι gaming content creators, το YTStealer υποδύεται mods για το Grand Theft Auto V, cheats για το Counter-Strike Go και το Call of Duty ή hacks για το Roblox.
Οι ερευνητές της Intezer εντόπισαν, επίσης, cracks και token generators για το Discord Nitro και το Spotify Premium, που έφεραν το νέο κακόβουλο λογισμικό.
Σύμφωνα με την Intezer, το YTStealer malware συνήθως συνδυάζεται με άλλα λογισμικά κλοπής πληροφοριών, όπως το περίφημο RedLine και το Vidar, για να στοχεύσει τους YouTube creators. Θα μπορούσε κανείς να πει ότι είναι ένα εξειδικευμένο «μπόνους» malware που εγκαθίσταται με κάποιο άλλο κακόβουλο λογισμικό που στοχεύει στην κλοπή κωδικού πρόσβασης.
YTStealer malware: Πώς λειτουργεί;
Το κακόβουλο λογισμικό YTStealer εκτελεί ορισμένους ελέγχους anti-sandbox πριν από την εκτέλεση στον κεντρικό υπολογιστή, χρησιμοποιώντας το εργαλείο ανοιχτού κώδικα Chacal.
Δείτε επίσης: Messenger: Κακόβουλα chatbot κλέβουν credentials για σελίδες Facebook
Εάν το μολυσμένο μηχάνημα θεωρείται έγκυρος στόχος, το κακόβουλο λογισμικό ελέγχει τα browser SQL database files για να εντοπίσει τα YouTube authentication tokens.
Στη συνέχεια, τα επικυρώνει ανοίγοντας το πρόγραμμα περιήγησης σε headless mode και προσθέτοντας το κλεμμένο cookie στο cookie store του. Εάν είναι έγκυρο, το YTStealer συλλέγει κι άλλες πληροφορίες για το YouTube κανάλι, όπως:
- Όνομα καναλιού YouTube
- Αριθμός συνδρομητών
- Ημερομηνία δημιουργίας καναλιού
- Κατάσταση δημιουργίας εσόδων
- Κατάσταση επίσημου καναλιού καλλιτέχνη
Η εκκίνηση του προγράμματος περιήγησης ιστού σε headless mode καθιστά την επίθεση πιο δύσκολη στον εντοπισμό, αφού το θύμα δεν θα παρατηρήσει τίποτα περίεργο αν δεν εξετάσει εξονυχιστικά τις διεργασίες που εκτελούνται.
Για να ελέγξει το πρόγραμμα περιήγησης, το YTStealer malware χρησιμοποιεί ένα library που ονομάζεται Rod. Πρόκειται για ένα βοηθητικό πρόγραμμα που χρησιμοποιείται ευρέως για web automation και scraping. Έτσι, χάρη σε αυτή τη δυνατότητα του YTStealer malware, οι επιτιθέμενοι αποκτούν εύκολα και αυτοματοποιημένα τα στοιχεία των καναλιών των YouTube creators.
YouTube accounts πωλούνται στο dark web
Σύμφωνα με τους ερευνητές, το YTStealer είναι πλήρως αυτοματοποιημένο και δεν κάνει διακρίσεις μεταξύ μικρών ή μεγάλων λογαριασμών YouTube.
Η Intezer πιστεύει ότι οι κλεμμένοι λογαριασμοί YouTube πωλούνται στο dark web, με τιμές ανάλογες με το μέγεθος του καναλιού. Προφανώς, ένα μεγάλο και δημοφιλές κανάλι YouTube θα είναι πολύ πιο ακριβό από ένα μικρότερο.
Δείτε επίσης: FBI: Εγκληματίες χρησιμοποιούν deepfakes σε συνεντεύξεις για remote tech jobs
Οι αγοραστές αυτών των λογαριασμών συνήθως χρησιμοποιούν αυτά τα κλεμμένα cookie ελέγχου ταυτότητας για να παραβιάσουν κανάλια YouTube για διάφορες απάτες ή να απαιτήσουν λύτρα από τους πραγματικούς κατόχους. Αυτό είναι ιδιαίτερα επικίνδυνο για τους creators του YouTube, επειδή ακόμα κι αν οι λογαριασμοί τους προστατεύονται με έλεγχο ταυτότητας πολλαπλών παραγόντων, τα authentication tokens θα παρακάμψουν το MFA και θα επιτρέψουν στους επιτιθέμενους να συνδεθούν στους λογαριασμούς τους.
Επομένως, προτείνεται στους δημιουργούς του YouTube να αποσυνδέονται κάποιες φορές από τους λογαριασμούς τους για να ακυρώνουν όλα τα authentication tokens που μπορεί να έχουν δημιουργηθεί ή κλαπεί στο παρελθόν.
Πηγή: www.bleepingcomputer.com