El malware YTStealer ha sido desarrollado para intentar robar las cuentas de los creadores de contenido de YouTube. El modus operandi de este malware es centrarse en un solo objetivo con la finalidad de realizar un robo de tokens más efectivo gracias a sus funciones avanzadas.
Dado a que el nuevo malware YTStealer tiene como objetivo los creadores de contenido de YouTube, entonces se disfraza como un software de edición de videos o como contenido para videos nuevos.
El malware YTStealer se acerca sigilosamente a los creadores de contenido de YouTube
Tal y como lo mencionamos anteriormente, este malware suplanta software importantes para editar videos como son OBS Studio, Adobe Premiere Pro, FL Studio, Ableton Live, Antares Auto-Tune Pro y Filmora. También está dirigido a los creadores de contenido gamers haciendo pasar por mods para Grand Theft Auto V, trucos para Counter-Strike Go y Call of Duty, el juego Valorant o trucos para Roblox.
Los investigadores también detectaron grietas y generadores de tokens para Discord Nitro y Spotify Premium que contenían el nuevo malware.
Vía Intezer, YTStealer generalmente se incluye con otros ladrones de información, como el RedLine y Vidar. Como tal, se propaga principalmente como un supuesto bono, pero lo que realmente hace es robar los datos de la cuenta a través de un sofisticado software.
Funcionalidad YTStealer
El malware YTStealer ejecuta algunas comprobaciones anti-sandbox antes de ejecutarse en el host, utilizando la herramienta Chacal de código abierto para este propósito.
Si la máquina infectada se considera un objetivo válido, el malware examina los archivos de la base de datos SQL del navegador para localizar los tokens de autenticación de YouTube.
Luego, los valida iniciando el navegador web en modo headless y agregando la cookie robada a su tienda. Si es válido, YTStealer también recopila información adicional como:
- Nombre del canal de YouTube
- recuento de suscriptores
- Fecha de creación
- Estado de monetización
- Estado del canal oficial del artista
El iniciar el navegador web en modo headless hace que toda la operación sea sigilosa para la víctima, que no notaría nada extraño a menos que examine sus procesos en ejecución.
Para controlar el navegador, YTStealer utiliza una biblioteca llamada Rod, la cual es muy utilizada para la automatización web y el scraping. Por lo tanto, la exfiltración de información del canal de YouTube ocurre sin la intervención manual del atacante.
El malware YTStealer es un software automatizado y no discrimina entre cuentas grandes o pequeñas, se encarga de robar todos los datos sin que los usuarios se den cuenta al momento, si no más tarde.
Por último, Intezer cree que las cuenta robadas por este malware son vendidas en la Dark Web con un precio que depende del tamaño del canal.
Comentarios!
Comentarios