Siber güvenlik araştırmacıları, kimlik doğrulama çerezlerini yağmalayarak YouTube içerik oluşturucularını hedef alan yeni bir bilgi çalan kötü amaçlı yazılımı belgeledi.
Intezer tarafından “YTStealer” olarak adlandırılan kötü amaçlı aracın, RedLine Stealer ve Vidar’ı da düşüren sahte yükleyiciler kullanılarak dağıtıldığı karanlık ağda bir hizmet olarak satıldığına inanılıyor.
Güvenlik araştırmacısı Joakim Kenndy, “YTStealer’ı karanlık web pazarında satılan diğer hırsızlardan ayıran şey, yalnızca tek bir hizmet için kimlik bilgilerini toplamaya odaklanmış olmasıdır.” bildiri Hacker News ile paylaşıldı.
Ancak kötü amaçlı yazılımın çalışma biçimi, çerez bilgilerini web tarayıcısının kullanıcının profil klasöründeki veritabanı dosyalarından çıkarması bakımından benzerlerini yansıtır. İçerik oluşturucuları hedeflemenin ardındaki sebep, YouTube kanal bilgilerini toplamak için virüslü makinede yüklü tarayıcılardan birini kullanmasıdır.
Bunu, tarayıcıyı başlatarak başarır. başsız mod ve tanımlama bilgisini veri deposuna eklemek, ardından adı verilen bir web otomasyon aracı kullanmak kamış kullanıcının YouTube Studio sayfasına gitmek için sağlar içerik oluşturucuların “varlığınızı yönetmeleri, kanalınızı büyütmeleri, kitlenizle etkileşim kurmaları ve tek bir yerden para kazanmaları” için.
Oradan, kötü amaçlı yazılım, para kazanılıp kazanılmadığını, resmi bir sanatçı kanalını ve adın doğrulanıp doğrulanmadığını kontrol etmenin yanı sıra ad, abone sayısı ve oluşturulma tarihi de dahil olmak üzere kullanıcının kanalları hakkında bilgileri yakalar ve bunların tümü sızdırılır. “youbot” alan adını taşıyan uzak bir sunucuya[.]çözümler.”
YTStealer’ın bir diğer dikkate değer yönü, açık kaynak kodlarını kullanmasıdır. chacal Hata ayıklamayı ve bellek analizini engellemek için “anti-VM çerçevesi”.
Alanın daha fazla analizi, bunun olduğunu ortaya çıkardı. kayıtlı 12 Aralık 2021’de ve muhtemelen bir yazılım şirketi ABD’nin New Mexico eyaletinde bulunan ve “hedeflenen trafiği elde etmek ve bundan para kazanmak için benzersiz çözümler” sunduğunu iddia eden aynı adı taşıyan şirket.
Bununla birlikte, Intezer tarafından toplanan açık kaynaklı istihbarat, sözde şirketin logosunu bir Kullanıcı hesabı Aparat adlı bir İran video paylaşım hizmetinde.
YTStealer’ı RedLine Stealer ile birlikte sunan damlalıklı yüklerin çoğu, Adobe Premiere Pro, Filmora ve HitFilm Express gibi yasal video düzenleme yazılımları için yükleyiciler kisvesi altında paketlenmiştir; Ableton Live 11 ve FL Studio gibi ses araçları; Counter-Strike için oyun modları: Global Offensive ve Call of Duty; ve güvenlik ürünlerinin kırık sürümleri.
Kenndy, “YTStealer, hangi kimlik bilgilerini çaldığı konusunda ayrımcılık yapmıyor” dedi. “Karanlık ağda, çalınan hesap kimlik bilgilerinin ‘kalitesi’ istenen fiyatı etkiler, bu nedenle daha etkili Youtube kanallarına erişim daha yüksek fiyatlara yol açar.”