YTStealer é um novo malware projetado para roubar cookies de autenticação do YouTube. Descoberto por pesquisadores da Intezer, o malware, que é baseado no projeto GitHub de código aberto Chacal, opera como um ladrão típico. Uma vez instalado, seu primeiro objetivo é realizar verificações de ambiente para determinar se está sendo analisado em um sandbox.
YTStealer em detalhes
De acordo com o relatório da Intezer, o que torna o YTStealer único é o fato de estar focado apenas em roubar credenciais apenas para o YouTube. Contudo, em termos de como funciona, não é muito diferente do seu regular ladrão de informações vendido na Dark Web.
Como funciona o YTStealer?
Caso o malware encontre cookies de autenticação para o YouTube, ele faz o seguinte:
Para validar os cookies e obter mais informações sobre a conta de usuário do YouTube, o malware inicia um dos navegadores da Web instalados na máquina infectada no modo headless e adiciona o cookie ao seu armazenamento de cookies. Ao iniciar o navegador da Web no modo headless, o malware pode operar o navegador como se o agente da ameaça estivesse sentado no computador sem que o usuário atual percebesse nada, Intezer disse.
Uma biblioteca específica chamada Rod é usada para controlar o navegador. Rod fornece uma interface de alto nível para controlar navegadores sobre o protocolo DevTools e se comercializa como uma ferramenta para automação e raspagem da web, o relatório adicionado.
O YTStealer usa o navegador da Web para navegar até a página do YouTube Studio que ajuda os criadores de conteúdo a gerenciar seu conteúdo. Enquanto lá, o malware coleta informações sobre os canais do usuário, incluindo o nome do canal, quantos inscritos tem, quantos anos tem, se for monetizado, um canal oficial do artista, e se o nome foi verificado. Esses detalhes são criptografados com uma chave exclusiva para cada amostra, e enviado para o servidor de comando e controle junto com um identificador de amostra.
Quais canais do YouTube são segmentados?
“YTStealer não discrimina quais credenciais ele rouba, seja alguém enviando vídeos do Minecraft para compartilhar com alguns amigos ou um canal como o Sr.. Besta com milhões de inscritos. Na Dark Web, a “qualidade” das credenciais da conta roubada influencia o preço pedido, então o acesso a canais do YouTube mais influentes exigiria preços mais altos," o relatório disse.
Ano passado, pesquisadores de segurança identificados uma vulnerabilidade na plataforma do YouTube que poderia tornar vídeos privados visíveis em resolução reduzida. Para explorar a falha, um invasor precisa saber (ou adivinhe) o identificador de vídeo. O problema foi relatado ao Google por meio de seu Programa de Recompensas de Vulnerabilidade.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: