YTStealer ist eine neue Malware, die entwickelt wurde, um YouTube-Authentifizierungscookies zu stehlen. Von Intezer-Forschern entdeckt, die Malware, das auf dem Open-Source-GitHub-Projekt Chacal basiert, arbeitet als typischer Dieb. Einmal installiert, Sein erstes Ziel besteht darin, Umgebungsprüfungen durchzuführen, um festzustellen, ob es in einer Sandbox analysiert wird.
YTStealer im Detail
Laut Intezers Bericht, Was YTStealer einzigartig macht, ist die Tatsache, dass es sich ausschließlich darauf konzentriert, Anmeldeinformationen nur für YouTube zu stehlen. Jedoch, in Bezug darauf, wie es funktioniert, Es ist nicht viel anders als Ihr normales Informationen stealer im Dark Web verkauft.
Wie funktioniert YTStealer??
Falls die Malware Authentifizierungs-Cookies für YouTube findet, es macht folgendes:
Um die Cookies zu validieren und weitere Informationen über das YouTube-Benutzerkonto zu erhalten, Die Malware startet einen der installierten Webbrowser auf dem infizierten Computer im Headless-Modus und fügt das Cookie zu seinem Cookie-Speicher hinzu. Indem Sie den Webbrowser im Headless-Modus starten, Die Malware kann den Browser so bedienen, als ob sich der Angreifer auf den Computer gesetzt hätte, ohne dass der aktuelle Benutzer etwas davon mitbekommt, sagte Intezer.
Zur Steuerung des Browsers wird eine spezielle Bibliothek namens Rod verwendet. Rod bietet eine High-Level-Schnittstelle zur Steuerung von Browsern über das DevTools-Protokoll und vermarktet sich selbst als Tool für die Webautomatisierung und das Scraping, der Bericht hinzugefügt.
YTStealer verwendet den Webbrowser, um zur Studio-Seite von YouTube zu navigieren, die Inhaltserstellern hilft, ihre Inhalte zu verwalten. Während dort, Die Malware sammelt Informationen über die Kanäle des Benutzers, einschließlich des Kanalnamens, wie viele Abonnenten es hat, wie alt es ist, wenn es monetarisiert wird, ein offizieller Künstlerkanal, und ob der Name verifiziert wurde. Diese Details werden mit einem eindeutigen Schlüssel für jede Probe verschlüsselt, und zusammen mit einer Musterkennung an den Command-and-Control-Server gesendet.
Auf welche YouTube-Kanäle wird abgezielt?
„YTStealer unterscheidet nicht, welche Zugangsdaten es stiehlt, ob es jemand ist, der Minecraft-Videos hochlädt, um sie mit ein paar Freunden zu teilen, oder einen Kanal wie Mr. Bestie mit Millionen von Abonnenten. Im Darknet, Die „Qualität“ gestohlener Kontodaten beeinflusst den geforderten Preis, Der Zugang zu einflussreicheren YouTube-Kanälen würde also höhere Preise erzielen," der Bericht sagte.
Letztes Jahr, Sicherheitsforscher identifiziert eine Schwachstelle in der YouTube-Plattform die private Videos mit reduzierter Auflösung sichtbar machen könnten. Den Fehler ausnutzen, Ein Angreifer müsste es wissen (oder raten) die Video-ID. Das Problem wurde Google über das Vulnerability Rewards Program gemeldet.