Создатели контента на YouTube в опасности

Новое вредоносное ПО YTStealer нацелено на взлом учетных записей создателей контента YouTube

Исследователи кибербезопасности задокументировали новую вредоносную программу для кражи информации, которая нацелена на создателей контента YouTube, похищая их файлы cookie для аутентификации.

Вредоносный инструмент, названный Intezer «YTStealer», вероятно, продается как услуга в темной сети, при этом он распространяется с использованием поддельных установщиков, которые также удаляют RedLine Stealer и Vidar.

«Что отличает YTStealer от других похитителей, продаваемых на рынке даркнета, так это то, что он сосредоточен исключительно на сборе учетных данных для одной единственной службы, а не на захвате всего, что может получить», — сказал исследователь безопасности Джоаким Кенди в отчете , опубликованном The Hacker. Новости.

Однако способ работы вредоносной программы аналогичен своим аналогам в том, что она извлекает информацию о файлах cookie из файлов базы данных веб-браузера в папке профиля пользователя. Причина, по которой нацеливаются на создателей контента, заключается в том, что он использует один из установленных браузеров на зараженной машине для сбора информации о канале YouTube.

Это достигается путем запуска браузера в автономном режиме и добавления файла cookie в хранилище данных с последующим использованием инструмента веб-автоматизации под названием Rod для перехода на страницу YouTube Studio пользователя, которая позволяет создателям контента «управлять вашим присутствием, развивать свой канал» . , взаимодействуйте со своей аудиторией и зарабатывайте деньги в одном месте».

Оттуда вредоносное ПО собирает информацию о каналах пользователя, включая имя, количество подписчиков и дату его создания, а также проверяет, монетизирован ли он, официальный канал исполнителя и подтверждено ли имя, и все это эксфильтрируется. на удаленный сервер с доменным именем «youbot[.]solutions».

Еще одним примечательным аспектом YTStealer является использование «анти-VM-фреймворка» Chacal с открытым исходным кодом в попытке помешать отладке и анализу памяти.

Дальнейший анализ домена показал, что он был зарегистрирован 12 декабря 2021 года и, возможно, связан с одноименной компанией-разработчиком программного обеспечения , которая находится в американском штате Нью-Мексико и утверждает, что предоставляет «уникальные решения для получения и монетизации целевой трафик».

Тем не менее, информация из открытых источников, собранная Intezer, также связала логотип предполагаемой компании с учетной записью пользователя в иранском сервисе обмена видео под названием Aparat.

Большинство полезных нагрузок дроппера, поставляющих YTStealer вместе с RedLine Stealer, упакованы под видом установщиков законного программного обеспечения для редактирования видео, такого как Adobe Premiere Pro, Filmora и HitFilm Express; звуковые инструменты, такие как Ableton Live 11 и FL Studio; игровые моды для Counter-Strike: Global Offensive и Call of Duty; и взломанные версии продуктов безопасности.

«YTStealer не различает, какие учетные данные он крадет», — сказал Кеннди. «В даркнете «качество» украденных учетных данных влияет на запрашиваемую цену, поэтому доступ к более влиятельным каналам Youtube будет стоить дороже».