Blog

Yangi YTStealer zararli dasturi YouTube kontent yaratuvchilarining hisoblarini nishonga oladi

Kiberxavfsizlik boʻyicha tadqiqotchilar YouTube kontenti yaratuvchilariga ularning autentifikatsiya cookie-fayllarini oʻgʻirlash orqali qaratilgan yangi maʼlumot oʻgʻirlovchi zararli dasturni hujjatlashtirdi.

Intezer tomonidan «YTStealer» deb nomlangan zararli dastur, ehtimol, qorong’u Internetda xizmat sifatida sotiladi va u RedLine Stealer va Vidarni o’chirib tashlaydigan soxta o’rnatuvchilar yordamida tarqatiladi.

«YTStealerni darknet bozorida sotiladigan boshqa oʻgʻrilardan ajratib turadigan jihati shundaki, u qoʻlidan kelgan hamma narsani tortib olishdan koʻra, faqat bitta xizmat uchun hisob maʼlumotlarini yigʻishga eʼtibor qaratadi», dedi xavfsizlik boʻyicha tadqiqotchi Yoaxim Kendi The Hacker News nashrida chop etilgan hisobotda.

Biroq, zararli dasturning ishlash usuli hamkasblariga o’xshaydi, chunki u cookie ma’lumotlarini veb-brauzer ma’lumotlar bazasi fayllaridan foydalanuvchi profili papkasida chiqaradi. Kontent yaratuvchilarni nishonga olishining sababi shundaki, u YouTube kanali haqida ma’lumot to’plash uchun zararlangan mashinada o’rnatilgan brauzerlardan birini ishlatadi.

Bunga brauzerni oflayn rejimda ishga tushirish va maʼlumotlar doʻkoniga cookie-fayllarni qoʻshish, soʻngra foydalanuvchining YouTube Studio sahifasiga oʻtish uchun Rod nomli veb-avtomatlashtirish vositasidan foydalanish orqali erishiladi, bu esa kontent yaratuvchilarga “borligingizni boshqarish, kanalingizni kengaytirish, auditoriya bilan muloqot qilish va barchasini bir joyda pul ishlash” imkonini beradi.

U yerdan zararli dastur foydalanuvchining kanallari, jumladan nomi, obunachilar soni va yaratilgan sanasi haqidagi maʼlumotlarni toʻplaydi, shuningdek, uning monetizatsiya qilinganligini, rassomning rasmiy kanali va nomi tasdiqlanganmi yoki yoʻqligini tekshiradi, bularning barchasi “youbot[.]solutions” domen nomi bilan masofaviy serverga uzatiladi.

YTStealer-ning yana bir e’tiborga molik jihati – bu disk raskadrovka va xotira tahliliga to’sqinlik qilish uchun ochiq manba Chacal «anti-VM ramka» dan foydalanish.

Domenning keyingi tahlillari shuni ko’rsatdiki, u 2021-yil 12-dekabrda ro’yxatdan o’tgan va AQShning Nyu-Meksiko shtatida joylashgan va «maqsadli trafikni yaratish va monetizatsiya qilish uchun noyob echimlarni» taqdim etishga da’vo qiladigan xuddi shu nomdagi dasturiy ta’minot kompaniyasiga tegishli bo’lishi mumkin.

Biroq, Intezer tomonidan to’plangan ochiq manba ma’lumotlari, shuningdek, taxmin qilingan kompaniya logotipini Eronning Aparat deb nomlangan video almashish xizmatidagi foydalanuvchi akkauntiga bog’lagan.

YTStealer-ni RedLine Stealer bilan birga jo’natadigan ko’p yuklamalar Adobe Premiere Pro, Filmora va HitFilm Express kabi qonuniy video tahrirlash dasturlari uchun o’rnatuvchilar sifatida paketlangan; Ableton Live 11 va FL Studio kabi audio asboblar; Counter-Strike uchun o’yin modlari: Global Offensive va Call of Duty; va xavfsizlik mahsulotlarining buzilgan versiyalari.

«YTStealer qaysi hisob ma’lumotlarini o’g’irlaganini farqlamaydi», dedi Kendi. «Qorong’u Internetda o’g’irlangan hisobga olish ma’lumotlarining «sifati» so’ralgan narxga ta’sir qiladi, shuning uchun ko’proq nufuzli YouTube kanallariga kirish qimmatroq bo’ladi.»