imágenes falsas
En los foros de delincuencia en línea, la especialización lo es todo. Ingrese a YTStealer, una nueva pieza de malware que roba las credenciales de autenticación que pertenecen a los creadores de contenido de YouTube.
“Lo que distingue a YTStealer de otros ladrones que se venden en el mercado de la Dark Web es que se centra únicamente en recopilar credenciales para un solo servicio en lugar de apoderarse de todo lo que puede obtener”, escribió Joakim Kennedy, investigador de la firma de seguridad Intezer. entrada de blog el miércoles. “Cuando se trata del proceso real, es muy similar al que se ve en otros ladrones. Las cookies se extraen de los archivos de la base de datos del navegador en la carpeta de perfil del usuario”.
Tan pronto como el malware obtiene una cookie de autenticación de YouTube, abre un navegador sin cabeza y se conecta a la página de estudio de YouTube, que los creadores de contenido usan para administrar los videos que producen. YTStealer luego extrae toda la información disponible sobre la cuenta del usuario, incluido el nombre de la cuenta, la cantidad de suscriptores, la edad y si los canales están monetizados.
Luego, el malware encripta cada muestra de datos con una clave única y envía ambos a un servidor de comando y control.
La estructura del código YTStealer y el identificador único utilizado para cada muestra lleva a Intezer a sospechar que YTStealer se vende como un servicio a otros actores de amenazas. Los investigadores de la compañía también notaron que los archivos utilizados para instalar el malware en las computadoras de las víctimas cargaban otros ladrones de credenciales, incluidos los llamados RedLine y Vidar.
Muchos de los archivos están disfrazados como instaladores de herramientas o software legítimos. Incluían instaladores falsos para:
- OBS Studio, una pieza de un software de transmisión de código abierto
- Software de edición de video, incluidos Adobe Premiere Pro, Filmora y HitFilm Express
- Aplicaciones de audio y complementos como Antares Auto-Tune Pro, Valhalla DSP, FabFilter Total y Xfer Serum
- Modos de juego y trucos para juegos como Grand Theft Auto V, Roblox, contraataquey Obligaciones
- Herramientas de controlador como “Driver Booster” y “Driver Easy”, que se promocionan a sí mismas como un medio para mejorar el rendimiento de la computadora para juegos.
- “Cracks” para software o servicios legítimos, incluidos Norton Security, Malwarebytes, Discord Nitro, Stepn y Spotify Premium
Codificado en YTStealer está el dominio youbot[.]soluciones No está claro de inmediato si el dominio está conectado a Youbot Solutions LLC, que está registrada en el registro de corporaciones de Nuevo México. Los intentos de comunicarse con la compañía para obtener comentarios no tuvieron éxito.