Nei forum di criminalità online, la specializzazione è tutto. Ecco YTStealer, un nuovo malware che ruba le credenziali di autenticazione dei creatori di contenuti di YouTube.
“Ciò che distingue YTStealer da altri programmi di furto venduti sul mercato del Dark Web è il fatto che si concentra esclusivamente sulla raccolta di credenziali per un singolo servizio, invece di prendere tutto ciò di cui può entrare in possesso“, ha scritto mercoledì Joakim Kennedy, ricercatore della società di sicurezza Intezer, in un post sul blog. “Quando si tratta del processo vero e proprio, è molto simile a quello visto in altri rubacchiotti. I cookie vengono estratti dai file del database del browser nella cartella del profilo dell’utente“.
Non appena il malware ottiene un cookie di autenticazione di YouTube, apre un browser senza testa e si connette alla pagina Studio di YouTube, che i creatori di contenuti utilizzano per gestire i video che producono. YTStealer estrae quindi tutte le informazioni disponibili sull’account dell’utente, tra cui il nome dell’account, il numero di abbonati, l’età e se i canali sono monetizzati.
Il malware cripta poi ogni campione di dati con una chiave unica e li invia a un server di comando e controllo.
La struttura del codice di YTStealer e l’identificatore univoco utilizzato per ogni campione inducono Intezer a sospettare che YTStealer venga venduto come servizio ad altri attori delle minacce. I ricercatori della società hanno inoltre notato che i file utilizzati per installare il malware sui computer delle vittime caricavano altri rubacredenziali, tra cui quelli chiamati RedLine e Vidar.
Molti dei file sono camuffati da programmi di installazione di strumenti o software legittimi. Sono stati inclusi falsi programmi di installazione per:
- OBS Studio, un software di streaming open source
- software di editing video, tra cui Adobe Premiere Pro, Filmora e HitFilm Express
- applicazioni e plugin audio come Antares Auto-Tune Pro, Valhalla DSP, FabFilter Total e Xfer Serum
- Modalità di gioco e cheat per giochi come Grand Theft Auto V, Roblox, Counter-Strike e Call of Duty
- Strumenti per i driver, come “Driver Booster” e “Driver Easy”, che si propongono come mezzi per migliorare le prestazioni dei computer di gioco.
- “Cracks” per software o servizi legittimi, tra cui Norton Security, Malwarebytes, Discord Nitro, Stepn e Spotify Premium.
Il dominio youbot[.]solutions è stato codificato in YTStealer. Non è chiaro se il dominio sia collegato a Youbot Solutions LLC, che è registrata nel registro delle società del Nuovo Messico. I tentativi di contattare la società per un commento non hanno avuto successo.
