Los investigadores de seguridad cibernética han documentado un nuevo malware que roba información y se dirige a los creadores de contenido de YouTube saqueando sus cookies de autenticación.
Apodada «YTStealer» por Intezer, se cree que la herramienta maliciosa se vende como un servicio en la dark web, y se distribuye utilizando instaladores falsos que también eliminan RedLine Stealer y Vidar.
«Lo que distingue a YTStealer de otros ladrones que se venden en el mercado de la web oscura es que se centra únicamente en recopilar credenciales para un solo servicio en lugar de apoderarse de todo lo que puede obtener», dijo el investigador de seguridad Joakim Kenndy en un comunicado. reporte compartido con The Hacker News.
El modus operandi del malware, sin embargo, refleja sus contrapartes en el sentido de que extrae la información de las cookies de los archivos de la base de datos del navegador web en la carpeta de perfil del usuario. El razonamiento dado detrás de la orientación a los creadores de contenido es que utiliza uno de los navegadores instalados en la máquina infectada para recopilar información del canal de YouTube.
Lo logra iniciando el navegador en modo sin cabeza y agregar la cookie al almacén de datos, seguido del uso de una herramienta de automatización web llamada Varilla para navegar a la página de YouTube Studio del usuario, que permite creadores de contenido para «administrar su presencia, hacer crecer su canal, interactuar con su audiencia y ganar dinero, todo en un solo lugar».
A partir de ahí, el malware captura información sobre los canales del usuario, incluido el nombre, la cantidad de suscriptores y su fecha de creación, además de verificar si está monetizado, es un canal oficial del artista y si el nombre ha sido verificado, todo lo cual se extrae. a un servidor remoto que lleva el nombre de dominio «youbot[.]soluciones».
Otro aspecto notable de YTStealer es su uso de la fuente abierta Chacal «marco anti-VM» en un intento de frustrar la depuración y el análisis de memoria.
Un análisis más profundo del dominio ha revelado que era registrado el 12 de diciembre de 2021, y que posiblemente esté conectado a un compañía de software del mismo nombre que se encuentra en el estado estadounidense de Nuevo México y afirma proporcionar «soluciones únicas para obtener y monetizar el tráfico objetivo».
Dicho esto, la inteligencia de código abierto recopilada por Intezer también ha vinculado el logotipo de la supuesta empresa a un cuenta de usuario en un servicio iraní para compartir videos llamado Aparat.
La mayoría de las cargas útiles de cuentagotas que entregan YTStealer junto con RedLine Stealer se empaquetan bajo la apariencia de instaladores para software de edición de video legítimo como Adobe Premiere Pro, Filmora y HitFilm Express; herramientas de audio como Ableton Live 11 y FL Studio; mods de juego para Counter-Strike: Global Offensive y Call of Duty; y versiones descifradas de productos de seguridad.
«YTStealer no discrimina qué credenciales roba», dijo Kenndy. «En la web oscura, la ‘calidad’ de las credenciales de cuenta robadas influye en la pregunta
precio, por lo que el acceso a canales de Youtube más influyentes exigiría precios más altos».