I ricercatori di Intezer hanno descritto in dettaglio un nuovo info-stealing malware, denominato YTStealer, sviluppato per rubare i cookie di autenticazione dai creatori di contenuti di YouTube. Secondo gli esperti, il malware è molto probabilmente venduto come servizio sul Dark Web.
La prima cosa che fa questo malware quando viene eseguito è eseguire alcuni controlli dell’ambiente per rilevare se lo stesso viene analizzato in un sandbox. YTStealer prende in prestito un codice che esegue i controlli che proviene da un progetto open source ospitato su GitHub chiamato Chacal.
Se YTStealer trova i cookie di autenticazione per YouTube, per convalidare i cookie e ottenere maggiori informazioni sull’account utente di YouTube, avvia uno dei browser web installati sulla macchina infetta in modalità headless e aggiunge il cookie al suo cookie store. Avviando il browser web in modalità headless, YTStealer può far funzionare il browser come se l’autore della minaccia fosse al computer senza che l’utente legittimo si accorga di nulla. Per controllare il browser, il malware utilizza la libreria Rod, la quale fornisce un’interfaccia di alto livello per controllare i browser sul protocollo DevTools e si propone come strumento per l’automazione e lo scraping web.
Il malware quindi, utilizzando il browser web, accede alla pagina Studio di YouTube che viene utilizzata dai creators per gestire i propri contenuti e, una volta ottenuto l’accesso, estrae informazioni sui canali dell’utente. I dati che acquisisce includono il nome del canale, il numero di iscritti, la data di creazione, se è monetizzato, un canale ufficiale dell’artista e se il nome è stato verificato. Il malware cifra tutti i dati con una chiave univoca per ogni campione e li invia insieme a un identificatore del campione al server di comando e controllo (C2) situato nel nome di dominio youbot[.]solutions.
Questo dominio risulta registrato il 12 dicembre 2021 ed è collegato a una società americana con il nome di “YOUBOT SOLUTIONS LLC” che afferma di fornire “soluzioni uniche per ottenere e monetizzare il traffico mirato”.
Ciò che distingue YTStealer dagli altri stealers disponibili sul Dark Web è che si concentra esclusivamente sulla raccolta di credenziali per un singolo servizio anziché rubare tutto ciò che può ottenere. Il processo vero e proprio, è molto simile a quello osservato di altri stealers. I cookie vengono estratti dai file di database del browser nella cartella del profilo dell’utente.
YTStealer non discrimina le credenziali che ruba, sia che si tratti di qualcuno che carica video di Minecraft da condividere con pochi amici o di un canale come Mr. Beast con milioni di iscritti. Sul Dark Web, la “qualità” delle credenziali dell’account rubato influenza il prezzo richiesto, pertanto l’accesso a canali YouTube più influenti comporterebbe prezzi più elevati.
https://securityaffairs.co/wordpress/132743/malware/ytstealer-malware-dark-web.html