Các nhà nghiên cứu an ninh mạng đã ghi nhận một phần mềm độc hại đánh cắp thông tin mới nhắm mục tiêu vào người tạo nội dung youtube bằng cách cướp cookie xác thực của họ.
Được Intezer mệnh danh là “YTStealer”, công cụ độc hại này có thể được cho là được bán dưới dạng dịch vụ trên dark web, với việc nó được phân phối bằng cách sử dụng các trình cài đặt giả mạo cũng như RedLine Stealer và Vidar.
Nhà nghiên cứu bảo mật Joakim Kenndy cho biết: “Điều khiến YTStealer vượt trội so với những kẻ ăn cắp khác được bán trên thị trường web đen là nó chỉ tập trung vào việc thu thập thông tin đăng nhập cho một dịch vụ duy nhất thay vì lấy mọi thứ mà nó có thể có được”, nhà nghiên cứu bảo mật Joakim Kenndy cho biết trong một báo cáo được chia sẻ với The Hacker Tin tức.
Tuy nhiên, modus operandi của phần mềm độc hại phản ánh các bản sao của nó ở chỗ nó trích xuất thông tin cookie từ các tệp cơ sở dữ liệu của trình duyệt web trong thư mục hồ sơ của người dùng. Lý do được đưa ra đằng sau việc nhắm mục tiêu người tạo nội dung là nó sử dụng một trong những trình duyệt được cài đặt trên máy bị nhiễm virus để thu thập thông tin kênh YouTube.
Nó đạt được điều này bằng cách khởi chạy trình duyệt ở chế độ không sử dụng và thêm cookie vào kho dữ liệu, tiếp theo là sử dụng công cụ tự động hóa web có tên là Rod để điều hướng đến trang YouTube Studio của người dùng, cho phép người tạo nội dung “quản lý sự hiện diện của bạn, phát triển kênh của bạn , tương tác với khán giả của bạn và kiếm tiền ở một nơi. “
Từ đó, phần mềm độc hại nắm bắt thông tin về các kênh của người dùng, bao gồm tên, số lượng người đăng ký và ngày tạo kênh, cùng với việc kiểm tra xem kênh đó có kiếm tiền không, kênh nghệ sĩ chính thức và nếu tên đã được xác minh, tất cả đều bị loại bỏ tới một máy chủ từ xa mang tên miền “youbot[.]các giải pháp.”
Một khía cạnh đáng chú ý khác của YTStealer là việc nó sử dụng “khuôn khổ chống VM” mã nguồn mở Chacal nhằm ngăn cản việc gỡ lỗi và phân tích bộ nhớ.
Phân tích sâu hơn về tên miền đã tiết lộ rằng nó đã được đăng ký vào ngày 12 tháng 12 năm 2021 và nó có thể được kết nối với một công ty phần mềm cùng tên đặt tại bang New Mexico của Hoa Kỳ và tuyên bố cung cấp “các giải pháp độc đáo để nhận và kiếm tiền lưu lượng truy cập được nhắm mục tiêu. “
Điều đó nói rằng, thông tin tình báo nguồn mở do Intezer thu thập cũng đã liên kết logo của công ty được cho là với tài khoản người dùng trên một dịch vụ chia sẻ video của Iran có tên Aparat.
Phần lớn tải trọng của ống nhỏ giọt phân phối YTStealer cùng với RedLine Stealer được đóng gói dưới vỏ bọc của trình cài đặt cho phần mềm chỉnh sửa video hợp pháp như Adobe Premiere Pro, Filmora và HitFilm Express; các công cụ âm thanh như Ableton Live 11 và FL Studio; mod trò chơi cho Counter-Strike: Global Offensive và Call of Duty; và các phiên bản bẻ khóa của các sản phẩm bảo mật.
“YTStealer không phân biệt đối xử về những thông tin mà nó đánh cắp,” Kenndy nói. “Trên dark web, ‘chất lượng' của thông tin đăng nhập tài khoản bị đánh cắp ảnh hưởng đến yêu cầu
giá, vì vậy việc truy cập vào các kênh Youtube có ảnh hưởng hơn sẽ dẫn đến giá cao hơn. “
.
