YouTuber, attenzione a YTStealer: è il malware che ruba i cookie di autenticazione

I ricercatori di sicurezza di Intezer hanno scoperto un nuovo malware per il furto di informazioni che prende di mira in maniera specifica i content creator di YouTube, tentando di appropriarsi dei loro token di autenticazione per compromettere i loro canali.

YTStealer, questo il nome del malware, basa la sua diffusione spacciandosi per software o strumenti dedicati al mondo video, come ad esempio OBS Studio, Adobe Premiere Pro, FL Studio, Ableton Live, Filmora e Antares Auto-Tune. In alcuni casi, con l'obiettivo di andare a prendere di mira i creator che realizzano contenuti a tema gaming, il malware si camuffa da mod o cheat per videogiochi (Grand Theft Auto V, Conunter-Strike Go, Call of Duty, Valorant e Roblox). 

I ricercatori osservano che YTStealer si trova generalmente distribuito insieme ad altri malware simili, come ad esempio RedLine e Vidar ,e data la sua specializzazione indirizzata a YouTube viene per lo più considerato una sorta di "accessorio" a valore aggiunto degli infostealer a più ampio spettro d'azione.

YTStealer utilizza lo strumento open source Chacal allo scopo di condurre alcune verifiche anti-sandbox prima di essere seguito sul sistema preso di mira. Nel momento in cui il sistema viene considerato come un bersaglio valido, il malware passa in rassegna i file del database SQL del browser per individuare i token di autenticazione di YouTube.

I token vengono quindi convalidati avviando il browser web in modalità headless e passando i token sottratti. La modalità headless permette di avviare il browser senza interfaccia grafica, facendo quindi passare inosservata l'operazione all'utente a meno che non vada ad osservare nello specifico i processi in esecuzione sul sistema.

Se l'operazione va a buon fine e i token risultano validi, YTStealer va a sottrarre altre informazioni come il nome del canale, il numero degli iscritti, la data di creazione, stato della monetizzazione e stato del canale ufficiale del proprietario.

YTStealer controlla il browser sfruttando la libreria Rod, diffusamente utilizzata per operazioni di automazione e scraping web. La sottrazione delle informazioni del canale YouTube procede quindi senza che vi sia una azione diretta dell'attore di minaccia. Questa caratteristica di completa automazione fa sì che YTStealer non faccia preferenze tra canali di grandi o piccole dimensioni: semplicemente si raccoglie "a strascico" lasciando agli operatori del malware le valutazioni del caso solo in un secondo momento.

Secondo i ricercatori Intezer è verosimile che gli account sottratti vengano rivenduti sul mercato nero del web, a prezzi direttamente proporzionali alle dimensioni del canale. Chi si appropria di questi account mette poi in atto azioni di dirottamento del canale per compiere varie truffe o più semplicemente chiede un riscatto per restituire il controllo dell'account ai legittimi proprietari.