Les chercheurs en cybersécurité ont documenté un nouveau logiciel malveillant voleur d’informations qui cible les créateurs de contenu YouTube en pillant leurs cookies d’authentification. Surnommé « YTStealer » par Intezer, l’outil malveillant est probablement vendu en tant que service sur le dark web, distribué à l’aide de faux installateurs qui suppriment également RedLine Stealer et Vidar. « Ce qui distingue YTStealer des autres voleurs vendus sur le marché du dark web, c’est qu’il se concentre uniquement sur la collecte d’informations d’identification pour un seul service au lieu de saisir tout ce qu’il peut obtenir », a déclaré le chercheur en sécurité Joakim Kenndy dans un rapport partagé avec breachtrace. Le mode opératoire du logiciel malveillant, cependant, reflète ses homologues en ce sens qu’il extrait les informations des cookies des fichiers de base de données du navigateur Web dans le dossier de profil de l’utilisateur. Le raisonnement derrière le ciblage des créateurs de contenu est qu’il utilise l’un des navigateurs installés sur la machine infectée pour recueillir des informations sur la chaîne YouTube. Il y parvient en lançant le navigateur en mode sans tête et en ajoutant le cookie au magasin de données, puis en utilisant un outil d’automatisation Web appelé Rod pour accéder à la page YouTube Studio de l’utilisateur, qui permet aux créateurs de contenu de « gérer votre présence, développer votre chaîne , interagissez avec votre public et gagnez de l’argent au même endroit. » À partir de là, le logiciel malveillant capture des informations sur les chaînes de l’utilisateur, y compris le nom, le nombre d’abonnés et sa date de création, tout en vérifiant s’il est monétisé, une chaîne d’artiste officielle et si le nom a été vérifié, le tout étant exfiltré. à un serveur distant portant le nom de domaine « youbot[.]solutions ». Un autre aspect notable de YTStealer est son utilisation du « framework anti-VM » open-source Chacal dans le but de contrecarrer le débogage et l’analyse de la mémoire. Une analyse plus approfondie du domaine a révélé qu’il a été enregistré le 12 décembre 2021 et qu’il est peut-être connecté à une société de logiciels du même nom située dans l’État américain du Nouveau-Mexique et prétend fournir « des solutions uniques pour obtenir et monétiser trafic ciblé. » Cela dit, les renseignements open source recueillis par Intezer ont également lié le logo de la supposée société à un compte d’utilisateur sur un service de partage de vidéos iranien appelé Aparat. La majorité des charges utiles de compte-gouttes fournissant YTStealer avec RedLine Stealer sont regroupées sous le couvert d’installateurs pour des logiciels de montage vidéo légitimes tels qu’Adobe Premiere Pro, Filmora et HitFilm Express ; des outils audio comme Ableton Live 11 et FL Studio ; mods de jeu pour Counter-Strike : Global Offensive et Call of Duty ; et des versions crackées de produits de sécurité. « YTStealer ne fait aucune discrimination quant aux informations d’identification qu’il vole », a déclaré Kenndy. « Sur le dark web, la ‘qualité’ des informations d’identification de compte volées influence le prix demandé, donc l’accès à des chaînes Youtube plus influentes entraînerait des prix plus élevés. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *