Gli esperti in sicurezza informatica hanno scoperto un nuovo virus su internet molto più pericoloso e aggressivo di tanti altri, il che ci fa pensare che ci sia una probabilità più alta del solito che possa infettare i nostri dispositivi. Ma come funziona, e soprattutto come agisce?
Dopo alcune analisi effettuate in merito, i ricercatori di sicurezza di Intezer hanno scoperto un nuovo malware, dedito al furto di informazioni, che prende di mira in maniera specifica i content creator di YouTube, tentando di appropriarsi dei loro token di autenticazione per compromettere i loro canali.
Non a caso il nome del malware è YTStealer, e basa le sue capacità sulla diffusione spacciandosi per software o strumenti dedicati al mondo video, come ad esempio OBS Studio, Adobe Premiere Pro, FL Studio, Ableton Live, Filmora e Antares Auto-Tune. In altri scenari ha come obiettivo principale quello di andare a prendere di mira i creator che realizzano contenuti a tema gaming.
Il lavoro di YTstealer e gli ingegnosi metodi con cui riesce a rubare gli account degli utenti
Gli esperti, inoltre, hanno anche scoperto che, in genere, viene distribuito insieme ad altri malware simili, come ad esempio RedLine e Vidar, e data la sua specializzazione indirizzata a YouTube viene per lo più considerato una sorta di “accessorio” che può essere unito ad altri malware già esistenti. Insomma, ha una modalità d’uso molto più diversa rispetto a quella a cui siamo abituati.
Lo YTStealer usa uno strumento open source Chacal allo scopo di condurre alcune verifiche anti-sandbox prima di essere seguito sul sistema preso di mira. Ma quando il software viene considerato come un bersaglio valido, il malware condivide i file del database SQL del browser per individuare i token di autenticazione di YouTube. A questo punto decide di convalidarli avviando il motore di ricerca in modalità headless e passando i token sottratti.
Questo sistema, dunque, consente di avviare il browser senza interfaccia grafica, facendo passare inosservata l’operazione all’utente a meno che non vada ad osservare nello specifico i processi in esecuzione sul software. E se l’operazione va a buon fine e i token risultano validi, YTStealer sottrae altre informazioni come il nome del canale, il numero degli iscritti, la data di creazione, lo stato della monetizzazione e il canale ufficiale del proprietario.
Il malware, come se non bastasse, è anche in grado di controllare il browser sfruttando la libreria Rod, diffusamente utilizzata per operazioni di automazione e scraping web. La sottrazione delle informazioni del canale YouTube procede quindi senza che vi sia una azione diretta dell’attore di minaccia. Questa caratteristica di completa automazione fa sì che YTStealer non faccia distinzione tra canali di grandi o piccole dimensioni, difatti possiamo dire che non badi a spese. E sempre secondo i ricercatori Intezer, non sarebbe strano che gli account sottratti venissero rivenduti sul DarkWeb, ovviamente a prezzi direttamente proporzionali alle dimensioni del canale.
? Fonte: www.hwupgrade.it
