YTStealer est un nouveau malware conçu pour voler les cookies d'authentification de YouTube. Découvert par des chercheurs d'Intezer, les logiciels malveillants, qui est basé sur le projet open-source GitHub de Chacal, fonctionne comme un voleur typique. Une fois installé, son premier objectif est d'effectuer des vérifications de l'environnement pour déterminer s'il est analysé dans un bac à sable.
YTStealer en détail
Selon le rapport d'Intezer, ce qui rend YTStealer unique, c'est le fait qu'il se concentre uniquement sur le vol d'informations d'identification pour YouTube uniquement. Cependant, en termes de fonctionnement, ce n'est pas très différent de votre habitude informations stealer vendu sur le Dark Web.
Comment fonctionne YTStealer?
Au cas où le logiciel malveillant trouverait des cookies d'authentification pour YouTube, il fait ce qui suit:
Pour valider les cookies et obtenir plus d'informations sur le compte d'utilisateur YouTube, le logiciel malveillant démarre l'un des navigateurs Web installés sur la machine infectée en mode sans tête et ajoute le cookie à sa banque de cookies. En démarrant le navigateur Web en mode sans tête, le logiciel malveillant peut faire fonctionner le navigateur comme si l'auteur de la menace s'asseyait sur l'ordinateur sans que l'utilisateur actuel ne remarque quoi que ce soit, Intezer a dit.
Une bibliothèque spécifique appelée Rod est utilisée pour contrôler le navigateur. Rod fournit une interface de haut niveau pour contrôler les navigateurs via le protocole DevTools et se présente comme un outil d'automatisation et de grattage Web, le rapport ajouté.
YTStealer utilise le navigateur Web pour accéder à la page Studio de YouTube qui aide les créateurs de contenu à gérer leur contenu. Alors qu'il y avait, le logiciel malveillant collecte des informations sur les canaux de l'utilisateur, y compris le nom de la chaîne, combien d'abonnés il a, quel âge a-t-il, s'il est monétisé, une chaîne d'artistes officielle, et si le nom a été vérifié. Ces détails sont cryptés avec une clé unique pour chaque échantillon, et envoyé au serveur de commande et de contrôle avec un identifiant d'échantillon.
Quelles chaînes YouTube sont ciblées?
"YTStealer ne fait pas de distinction entre les informations d'identification qu'il vole, que ce soit quelqu'un qui télécharge des vidéos Minecraft à partager avec quelques amis ou une chaîne comme Mr. Bête avec des millions d'abonnés. Sur le Web sombre, la « qualité » des identifiants de compte volés influence le prix demandé, donc l'accès à des chaînes YouTube plus influentes entraînerait des prix plus élevés," le rapport dit.
L'année dernière, chercheurs en sécurité identifiés une vulnérabilité dans la plateforme YouTube qui pourrait rendre les vidéos privées visibles à une résolution réduite. Pour exploiter la faille, un attaquant aurait besoin de savoir (ou devinez) l'identifiant de la vidéo. Le problème a été signalé à Google via son programme Vulnerability Rewards..