Peneliti keamanan siber telah mendokumentasikan malware pencuri informasi baru yang menargetkan pembuat konten YouTube dengan menjarah cookie otentikasi mereka.
Dijuluki “YTStealer” oleh Intezer, alat jahat itu kemungkinan diyakini dijual sebagai layanan di web gelap, dengan didistribusikan menggunakan penginstal palsu yang juga menghapus RedLine Stealer dan Vidar.
“Apa yang membedakan YTStealer dari pencuri lain yang dijual di pasar web gelap adalah bahwa ia hanya berfokus pada mengumpulkan kredensial untuk satu layanan tunggal alih-alih mengambil semua yang dapat diperolehnya,” kata peneliti keamanan Joakim Kenndy dalam sebuah laporan yang dibagikan kepada The Hacker. Berita.
Modus operandi malware, bagaimanapun, mencerminkan rekan-rekannya dalam mengekstrak informasi cookie dari file database browser web di folder profil pengguna. Alasan yang diberikan di balik penargetan pembuat konten adalah karena ia menggunakan salah satu browser yang diinstal pada mesin yang terinfeksi untuk mengumpulkan informasi saluran YouTube.
Ini dicapai dengan meluncurkan browser dalam mode tanpa kepala dan menambahkan cookie ke penyimpanan data, diikuti dengan menggunakan alat otomatisasi web yang disebut Rod untuk menavigasi ke halaman YouTube Studio pengguna, yang memungkinkan pembuat konten untuk “mengelola kehadiran Anda, mengembangkan saluran Anda , berinteraksi dengan audiens Anda, dan hasilkan uang di satu tempat.”
Dari sana, malware menangkap informasi tentang saluran pengguna, termasuk nama, jumlah pelanggan, dan tanggal pembuatannya, di samping memeriksa apakah saluran itu dimonetisasi, saluran artis resmi, dan apakah namanya telah diverifikasi, semuanya dieksfiltrasi. ke server jauh yang membawa nama domain “youbot[.]solusi.”
Aspek penting lainnya dari YTStealer adalah penggunaan open-source Chacal “anti-VM framework” dalam upaya untuk menggagalkan debugging dan analisis memori.
Analisis lebih lanjut dari domain telah mengungkapkan bahwa itu terdaftar pada 12 Desember 2021, dan bahwa itu mungkin terhubung ke perusahaan perangkat lunak dengan nama yang sama yang berlokasi di negara bagian New Mexico AS dan mengklaim memberikan “solusi unik untuk mendapatkan dan memonetisasi lalu lintas yang ditargetkan.”
Yang mengatakan, intelijen open-source yang dikumpulkan oleh Intezer juga telah menghubungkan logo perusahaan yang diduga ke akun pengguna pada layanan berbagi video Iran yang disebut Aparat.
Sebagian besar muatan dropper yang mengirimkan YTStealer bersama dengan RedLine Stealer dikemas dengan kedok penginstal untuk perangkat lunak pengeditan video yang sah seperti Adobe Premiere Pro, Filmora, dan HitFilm Express; alat audio seperti Ableton Live 11 dan FL Studio; mod game untuk Counter-Strike: Global Offensive dan Call of Duty; dan versi retak dari produk keamanan.
“YTStealer tidak membeda-bedakan kredensial apa yang dicurinya,” kata Kenndy. “Di web gelap, ‘kualitas’ kredensial akun yang dicuri memengaruhi permintaan
harga, jadi akses ke saluran Youtube yang lebih berpengaruh akan memerintahkan harga yang lebih tinggi.”