YTStealer is een nieuwe malware die is ontworpen om YouTube-authenticatiecookies te stelen. Ontdekt door onderzoekers van Intezer, de malware, die is gebaseerd op het Chacal open-source GitHub-project, werkt als een typische stealer. Eenmaal geïnstalleerd, het eerste doel is het uitvoeren van omgevingscontroles om te bepalen of het wordt geanalyseerd in een sandbox.
YTSealer in detail
Volgens het rapport van Intezer, wat YTStealer uniek maakt, is het feit dat het uitsluitend is gericht op het stelen van inloggegevens voor YouTube. Echter, in termen van hoe het werkt, het is niet veel anders dan je normale informatie stealer verkocht op het Dark Web.
Hoe werkt YTSealer??
In het geval dat de malware authenticatiecookies voor YouTube vindt, het doet het volgende::
Om de cookies te valideren en om meer informatie over het YouTube-gebruikersaccount te verkrijgen, de malware start een van de geïnstalleerde webbrowsers op de geïnfecteerde machine in headless-modus en voegt de cookie toe aan de cookie-winkel. Door de webbrowser in headless-modus te starten, de malware kan de browser bedienen alsof de dreigingsactor op de computer is gaan zitten zonder dat de huidige gebruiker er iets van merkt, Intezer zei:.
Een specifieke bibliotheek genaamd Rod wordt gebruikt om de browser te besturen. Rod biedt een interface op hoog niveau om browsers te besturen via het DevTools-protocol en verkoopt zichzelf als een hulpmiddel voor webautomatisering en scraping, het rapport toegevoegd.
YTStealer gebruikt de webbrowser om naar de Studio-pagina van YouTube te gaan, waarmee makers van inhoud hun inhoud kunnen beheren. Terwijl daar, de malware-oogstinformatie over de kanalen van de gebruiker, inclusief de kanaalnaam, hoeveel abonnees het heeft, hoe oud is het, als er geld mee wordt verdiend, een officieel artiestenkanaal, en als de naam is geverifieerd. Deze details zijn versleuteld met een unieke sleutel voor elk monster, en verzonden naar de command-and-control-server samen met een voorbeeld-ID.
Op welke YouTube-kanalen wordt getarget?
"YTSeler discrimineert niet over welke referenties het steelt, of het nu iemand is die Minecraft-video's uploadt om te delen met een paar vrienden of een kanaal zoals Mr. Beest met miljoenen abonnees. Op het donkere web, de "kwaliteit" van gestolen accountgegevens beïnvloedt de vraagprijs, dus toegang tot meer invloedrijke YouTube-kanalen zou hogere prijzen opleveren," het verslag zei.
Vorig jaar, beveiligingsonderzoekers geïdentificeerd een kwetsbaarheid in het YouTube-platform die privévideo's zichtbaar kunnen maken met een lagere resolutie. Om de fout te exploiteren, een aanvaller zou het moeten weten (of raad eens) de video-ID. Het probleem is gemeld aan Google via het Vulnerability Rewards-programma.