Les chercheurs en cybersécurité ont documenté un nouveau logiciel malveillant voleur d’informations qui cible les créateurs de contenu YouTube en pillant leurs cookies d’authentification.
Surnommé « YTStealer » par Intezer, l’outil malveillant est probablement vendu en tant que service sur le dark web, distribué à l’aide de faux installateurs qui suppriment également RedLine Stealer et Vidar.
« Ce qui distingue YTStealer des autres voleurs vendus sur le marché du dark web, c’est qu’il se concentre uniquement sur la collecte d’informations d’identification pour un seul service au lieu de saisir tout ce qu’il peut obtenir », a déclaré le chercheur en sécurité Joakim Kenndy dans un rapport partagé avec The Hacker News.
Le mode opératoire du logiciel malveillant, cependant, reflète ses homologues en ce sens qu’il extrait les informations des cookies des fichiers de base de données du navigateur Web dans le dossier de profil de l’utilisateur. Le raisonnement derrière le ciblage des créateurs de contenu est qu’il utilise l’un des navigateurs installés sur la machine infectée pour recueillir des informations sur la chaîne YouTube.
Il y parvient en lançant le navigateur dans mode sans tête et en ajoutant le cookie au magasin de données, puis en utilisant un outil d’automatisation Web appelé Canne à pêche pour accéder à la page YouTube Studio de l’utilisateur, qui permet créateurs de contenu pour « gérer votre présence, développer votre chaîne, interagir avec votre public et gagner de l’argent au même endroit ».
À partir de là, le logiciel malveillant capture des informations sur les chaînes de l’utilisateur, y compris le nom, le nombre d’abonnés et sa date de création, tout en vérifiant s’il est monétisé, une chaîne d’artiste officielle et si le nom a été vérifié, le tout étant exfiltré. à un serveur distant portant le nom de domaine « youbot[.]solutions. »
Un autre aspect notable de YTStealer est son utilisation de l’open-source Chacal « framework anti-VM » pour tenter de contrecarrer le débogage et l’analyse de la mémoire.
Une analyse plus poussée du domaine a révélé qu’il était inscrit le 12 décembre 2021, et qu’il est peut-être connecté à un société de logiciels du même nom qui est situé dans l’État américain du Nouveau-Mexique et prétend fournir « des solutions uniques pour obtenir et monétiser le trafic ciblé ».
Cela dit, les renseignements open source recueillis par Intezer ont également lié le logo de la supposée société à un compte d’utilisateur sur un service iranien de partage de vidéos appelé Aparat.
La majorité des charges utiles de compte-gouttes fournissant YTStealer avec RedLine Stealer sont regroupées sous le couvert d’installateurs pour des logiciels de montage vidéo légitimes tels qu’Adobe Premiere Pro, Filmora et HitFilm Express ; des outils audio comme Ableton Live 11 et FL Studio ; mods de jeu pour Counter-Strike : Global Offensive et Call of Duty ; et des versions crackées de produits de sécurité.
« YTStealer ne fait aucune discrimination quant aux informations d’identification qu’il vole », a déclaré Kenndy. « Sur le dark web, la ‘qualité’ des informations d’identification de compte volées influence la demande
prix, donc l’accès à des chaînes Youtube plus influentes entraînerait des prix plus élevés. »