Исследователи обнаружили новую малварь YTStealer, предназначенную для кражи информации и нацеленную на создателей контента для YouTube. Вредонос ворует аутентификационные файлы cookie, которые затем могут использоваться для захвата чужих каналов.
Специалисты компании Intezer пишут, что на фоне других инфостилеров, YTStealer и его крайне узкая направленность выглядят весьма необычно. Так как YTStealer нацелен исключительно на ютубуеров, для его распространения используются соответствующие приманки, имитирующие ПО для редактирования видео или популярные игры.
Например, установщики YTStealer могут маскироваться под OBS Studio, Adobe Premiere Pro, FL Studio, Ableton Live, Antares Auto-Tune Pro и Filmora, а также под моды для Grand Theft Auto V, читы для Counter-Strike Go и Call of Duty, игру Valorant или хаки для Roblox. Также были обнаружены кряки и генераторы токенов для Norton Security, Malwarebytes, Discord Nitro, Stepn и Spotify Premium, содержащие эту малварь.
Интересно, что обычно YTStealer поставляется в комплекте с другими инфостилерами, включая известные RedLine и Vidar. Похоже, YTStealer в основном рассматривается злоумышленниками как некий «бонус», распространяющийся вместе с другой малварью для кражи учетных данных.
Проникнув в систему, вредонос тщательно проверяет файлы баз данных SQL в браузере в поисках аутентификационных токенов YouTube. Затем YTStealer проверяет их, запуская браузер в headless-режиме и добавляя украденные файлы cookie в его хранилище. Если токены действительны, YTStealer соберет дополнительную информацию о жертве:
- название канала на YouTube;
- количество подписчиков;
- дата создания;
- статус монетизации;
- имеет ли канал официальный статус artist.
Для управления браузером YTStealer использует библиотеку Rod, которая широко применяется для веб-автоматизации и парсинга. В итоге извлечение информации о YouTube-канале происходит без непосредственного вмешательства злоумышленника.
YTStealer полностью автоматизирован ворует данные как больших, так и мелких YouTube-каналов, позволяя своим операторам позже оценить «улов». Аналитики Intezer считают, что украденные YouTube-аккаунты затем продаются в даркнете, причем цена напрямую зависит от размера канала. Очевидно, что чем крупнее и влиятельнее канал, тем дороже он будет стоить на черном рынке.
Покупатели таких учетных записей обычно используют украденные файлы cookie для захвата чужих каналов и совершения различных мошеннических действий (например, продвижения криптовалютного скама), а также могут потребовать выкуп у настоящего владельца.
Исследователи подчеркивают, что YTStealer действительно представляет большую угрозу для ютуберов, ведь даже если их учетные записи защищены многофакторной аутентификацией, украденные токены позволят обойти МФА. Эксперты советуют создателям контента для YouTube периодически выходить из своих учетных записей, чтобы все аутентифкационные токены, которые могли быть созданы и украдены ранее, стали недействительными.
