YTStealer es un nuevo malware diseñado para robar cookies de autenticación de YouTube. Descubierto por investigadores de Intezer, el malware, que se basa en el proyecto GitHub de código abierto Chacal, opera como un ladrón típico. Una vez instalado, su primer objetivo es realizar comprobaciones del entorno para determinar si se está analizando en un entorno limitado.
YTStealer en detalle
Según el informe de Intezer, lo que hace que YTStealer sea único es el hecho de que se enfoca únicamente en robar credenciales solo para YouTube. Sin embargo, en términos de cómo funciona, no es muy diferente a su regular ladrón de información vendido en la Dark Web.
¿Cómo funciona YTStealer??
En caso de que el malware encuentre cookies de autenticación para YouTube, hace lo siguiente:
Para validar las cookies y obtener más información sobre la cuenta de usuario de YouTube, el malware inicia uno de los navegadores web instalados en la máquina infectada en modo autónomo y agrega la cookie a su almacén de cookies. Al iniciar el navegador web en modo sin cabeza, el malware puede operar el navegador como si el autor de la amenaza se hubiera sentado en la computadora sin que el usuario actual se dé cuenta de nada, Intezer dijo.
Se utiliza una biblioteca específica llamada Rod para controlar el navegador.. Rod proporciona una interfaz de alto nivel para controlar los navegadores a través del protocolo DevTools y se comercializa a sí mismo como una herramienta para la automatización y el scraping web., el informe agregado.
YTStealer usa el navegador web para navegar a la página de Studio de YouTube que ayuda a los creadores de contenido a administrar su contenido.. Mientras que hay, el malware recopila información sobre los canales del usuario, incluyendo el nombre del canal, cuantos suscriptores tiene, cuantos años tiene, si esta monetizado, un canal oficial del artista, y si el nombre ha sido verificado. Estos detalles están encriptados con una clave única para cada muestra, y enviado al servidor de comando y control junto con un identificador de muestra.
Qué canales de YouTube están orientados?
"YTStealer no discrimina sobre qué credenciales roba, ya sea que alguien suba videos de Minecraft para compartir con algunos amigos o un canal como el Sr.. Bestia con millones de suscriptores. en la web oscura, la "calidad" de las credenciales de la cuenta robada influye en el precio de venta, por lo tanto, el acceso a canales de YouTube más influyentes exigiría precios más altos," el informe dijo.
El año pasado, investigadores de seguridad identificados una vulnerabilidad en la plataforma YouTube que podría hacer que los videos privados fueran visibles a una resolución reducida. Para explotar el defecto, un atacante necesitaría saber (o adivinar) el identificador de video. El problema se informó a Google a través de su Programa de recompensas por vulnerabilidad.