Dans les forums de crime en ligne, la spécialisation est primordiale. Entrez YTStealer, un nouveau logiciel malveillant qui vole les identifiants d’authentification appartenant aux créateurs de contenu YouTube.
« Ce qui distingue YTStealer des autres voleurs vendus sur le marché du Dark Web, c’est qu’il se concentre uniquement sur la collecte d’informations d’identification pour un seul service au lieu de saisir tout ce qu’il peut obtenir », a écrit Joakim Kennedy, chercheur à la société de sécurité Intezer. article de blog mercredi. « En ce qui concerne le processus réel, il est très similaire à celui observé chez d’autres voleurs. Les cookies sont extraits des fichiers de base de données du navigateur dans le dossier de profil de l’utilisateur.
Dès que le logiciel malveillant obtient un cookie d’authentification YouTube, il ouvre un navigateur sans tête et se connecte à la page Studio de YouTube, que les créateurs de contenu utilisent pour gérer les vidéos qu’ils produisent. YTStealer extrait ensuite toutes les informations disponibles sur le compte utilisateur, y compris le nom du compte, le nombre d’abonnés, l’âge et si les chaînes sont monétisées.
Le logiciel malveillant crypte ensuite chaque échantillon de données avec une clé unique et envoie les deux à un serveur de commande et de contrôle.
La structure du code YTStealer et l’identifiant unique utilisé pour chaque échantillon conduisent Intezer à soupçonner que YTStealer est vendu en tant que service à d’autres acteurs de la menace. Les chercheurs de la société ont en outre remarqué que les fichiers utilisés pour installer le logiciel malveillant sur les ordinateurs des victimes chargeaient d’autres voleurs d’informations d’identification, notamment ceux appelés RedLine et Vidar.
De nombreux fichiers sont déguisés en programmes d’installation d’outils ou de logiciels légitimes. Ils comprenaient de faux installateurs pour :
- OBS Studio, un morceau d’un logiciel de streaming open source
- Logiciel de montage vidéo, y compris Adobe Premiere Pro, Filmora et HitFilm Express
- Applications et plug-ins audio tels que Antares Auto-Tune Pro, Valhalla DSP, FabFilter Total et Xfer Serum
- Modes de jeu et astuces pour des jeux tels que Grand Theft Auto V, Roblox, Counter Strikeet Appel du devoir
- Des outils de pilote tels que « Driver Booster » et « Driver Easy », qui se présentent comme un moyen d’améliorer les performances de l’ordinateur de jeu
- « Cracks » pour des logiciels ou services légitimes, notamment Norton Security, Malwarebytes, Discord Nitro, Stepn et Spotify Premium
Le domaine youbot est codé en dur dans le YTStealer[.]solutions. Il n’est pas immédiatement clair si le domaine est connecté à Youbot Solutions LLC, qui est enregistré dans le registre des sociétés du Nouveau-Mexique. Les tentatives pour joindre l’entreprise pour obtenir des commentaires n’ont pas abouti.