Los investigadores de seguridad cibern\u00e9tica han documentado un nuevo malware que roba informaci\u00f3n y se dirige a los creadores de contenido de YouTube saqueando sus cookies de autenticaci\u00f3n.<\/p>\n
Apodada “YTStealer” por Intezer, se cree que la herramienta maliciosa se vende como un servicio en la dark web, y se distribuye utilizando instaladores falsos que tambi\u00e9n eliminan RedLine Stealer y Vidar.<\/p>\n
“Lo que distingue a YTStealer de otros ladrones que se venden en el mercado de la web oscura es que se centra \u00fanicamente en recopilar credenciales para un solo servicio en lugar de apoderarse de todo lo que puede obtener”, dijo el investigador de seguridad Joakim Kenndy en un comunicado. reporte<\/a> compartido con The Hacker News.<\/p>\n El modus operandi del malware, sin embargo, refleja sus contrapartes en el sentido de que extrae la informaci\u00f3n de las cookies de los archivos de la base de datos del navegador web en la carpeta de perfil del usuario. El razonamiento dado detr\u00e1s de la orientaci\u00f3n a los creadores de contenido es que utiliza uno de los navegadores instalados en la m\u00e1quina infectada para recopilar informaci\u00f3n del canal de YouTube.<\/p>\n Lo logra iniciando el navegador en modo sin cabeza<\/a> y agregar la cookie al almac\u00e9n de datos, seguido del uso de una herramienta de automatizaci\u00f3n web llamada Varilla<\/a> para navegar a la p\u00e1gina de YouTube Studio del usuario, que permite<\/a> creadores de contenido para “administrar su presencia, hacer crecer su canal, interactuar con su audiencia y ganar dinero, todo en un solo lugar”.<\/p>\n A partir de ah\u00ed, el malware captura informaci\u00f3n sobre los canales del usuario, incluido el nombre, la cantidad de suscriptores y su fecha de creaci\u00f3n, adem\u00e1s de verificar si est\u00e1 monetizado, es un canal oficial del artista y si el nombre ha sido verificado, todo lo cual se extrae. a un servidor remoto que lleva el nombre de dominio “youbot[.]soluciones”.<\/p>\n Otro aspecto notable de YTStealer es su uso de la fuente abierta Chacal<\/a> “marco anti-VM” en un intento de frustrar la depuraci\u00f3n y el an\u00e1lisis de memoria.<\/p>\n Un an\u00e1lisis m\u00e1s profundo del dominio ha revelado que era registrado<\/a> el 12 de diciembre de 2021, y que posiblemente est\u00e9 conectado a un compa\u00f1\u00eda de software<\/a> del mismo nombre que se encuentra en el estado estadounidense de Nuevo M\u00e9xico y afirma proporcionar “soluciones \u00fanicas para obtener y monetizar el tr\u00e1fico objetivo”.<\/p>\n Dicho esto, la inteligencia de c\u00f3digo abierto recopilada por Intezer tambi\u00e9n ha vinculado el logotipo de la supuesta empresa a un cuenta de usuario<\/a> en un servicio iran\u00ed para compartir videos llamado Aparat.<\/p>\n La mayor\u00eda de las cargas \u00fatiles de cuentagotas que entregan YTStealer junto con RedLine Stealer se empaquetan bajo la apariencia de instaladores para software de edici\u00f3n de video leg\u00edtimo como Adobe Premiere Pro, Filmora y HitFilm Express; herramientas de audio como Ableton Live 11 y FL Studio; mods de juego para Counter-Strike: Global Offensive y Call of Duty; y versiones descifradas de productos de seguridad.<\/p>\n “YTStealer no discrimina qu\u00e9 credenciales roba”, dijo Kenndy. “En la web oscura, la ‘calidad’ de las credenciales de cuenta robadas influye en la pregunta<\/p>\n precio, por lo que el acceso a canales de Youtube m\u00e1s influyentes exigir\u00eda precios m\u00e1s altos”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n