YTStealer è un nuovo malware progettato per rubare i cookie di autenticazione di YouTube. Scoperto dai ricercatori di Intezer, il malware, che si basa sul progetto GitHub open source Chacal, opera come un tipico ladro. Una volta installato, il suo primo obiettivo è eseguire controlli dell'ambiente per determinare se viene analizzato in una sandbox.
YTSlader in dettaglio
Secondo il rapporto di Intezer, ciò che rende unico YTStealer è il fatto che si concentra esclusivamente sul furto di credenziali solo per YouTube. Tuttavia, in termini di come funziona, non è molto diverso dal tuo normale informazioni Stealer venduto sul Dark Web.
Come funziona YTStealer?
Nel caso in cui il malware trovi cookie di autenticazione per YouTube, fa quanto segue:
Per convalidare i cookie e ottenere maggiori informazioni sull'account utente di YouTube, il malware avvia uno dei browser Web installati sulla macchina infetta in modalità headless e aggiunge il cookie al suo cookie store. Avviando il browser web in modalità headless, il malware può far funzionare il browser come se l'attore della minaccia si fosse seduto sul computer senza che l'utente corrente si accorgesse di nulla, disse Intezer.
Una libreria specifica chiamata Rod viene utilizzata per controllare il browser. Rod fornisce un'interfaccia di alto livello per controllare i browser sul protocollo DevTools e si propone come strumento per l'automazione e lo scraping web, il rapporto ha aggiunto.
YTStealer utilizza il browser web per accedere alla pagina Studio di YouTube che aiuta i creatori di contenuti a gestire i propri contenuti. Mentre c'è, il malware raccoglie informazioni sui canali dell'utente, compreso il nome del canale, quanti iscritti ha, quanti anni ha, se è monetizzato, un canale ufficiale dell'artista, e se il nome è stato verificato. Questi dettagli sono crittografati con una chiave univoca per ogni campione, e inviato al server di comando e controllo insieme a un identificatore di esempio.
Quali canali YouTube sono presi di mira?
“YTStealer non discrimina le credenziali che ruba, che si tratti di qualcuno che carica video di Minecraft da condividere con alcuni amici o di un canale come Mr. Bestia con milioni di iscritti. Sul Dark Web, la “qualità” delle credenziali dell'account rubato influenza il prezzo richiesto, quindi l'accesso a canali YouTube più influenti comporterebbe prezzi più elevati," il rapporto disse.
L'anno scorso, identificati i ricercatori sulla sicurezza una vulnerabilità nella piattaforma YouTube che potrebbe rendere visibili i video privati a risoluzione ridotta. Per sfruttare la falla, un utente malintenzionato avrebbe bisogno di sapere (o indovina) l'identificatore del video. Il problema è stato segnalato a Google tramite il suo Vulnerability Rewards Program.