Allarme per YTStealer, il malware che sta rubando i cookies di autenticazione per sottrarci le password

1
231

Gli esperti hanno rilevato un nuovo virus informatico molto pericoloso e che, alcuni di noi, potrebbero trovare veramente ingegnoso dato che agisce diversamente da tutti gli altri malware. Come si mette all’opera?

Allarme per YTStealer, il malware che sta rubando i cookies di autenticazione per sottrarci le password
YTStealer potrebbe rientrare tra i peggiori malware in circolazione – Computermagazine.it

il nome del nuovo virus di cui vi abbiamo fatto accenno è YTStealer, e basa tutte le sue capacità sulla diffusione spacciandosi per software o strumenti dedicati al mondo video, come ad esempio OBS Studio, Adobe Premiere Pro, FL Studio, Ableton Live, Filmora e Antares Auto-Tune. In altri scenari ha come scopo principale quello di andare a prendere di mira i creator che realizzano contenuti a tema gaming.

Gli esperti, andando avanti, hanno anche scoperto che in genere viene distribuito insieme ad altri malware simili, come ad esempio RedLine e Vidar, e data la sua specializzazione indirizzata a YouTube viene per lo più considerato una sorta di “accessorio” che può essere unito ad altri malware già esistenti. Possiamo dire che abbia una modalità d’uso differente rispetto a quella a cui siamo abituati.

Come agisce il virus

Allarme per YTStealer, il malware che sta rubando i cookies di autenticazione per sottrarci le password
Il solo fatto che esista è un problema – Computermagazine.it

Lo YTStealer usa uno strumento open source Chacal con l’obiettivo preciso di condurre alcune verifiche anti-sandbox prima di essere seguito sul sistema preso di mira. Ma nel momento in cui il software viene considerato come un bersaglio valido, il malware condivide i file del database SQL del browser per individuare i token di autenticazione di YouTube. Arrivato qui, è sufficiente scegliere volontariamente di convalidarli avviando il browser web in modalità headless e passando i token sottratti.

Il sistema consente di avviare il browser senza interfaccia grafica, facendo passare inosservata l’operazione all’utente a meno che non vada ad osservare nello specifico i processi in esecuzione sul software. E se l’operazione va a buon fine come sperano che succeda gli hacker, i i token risultano validi, YTStealer sottrae altre informazioni come il nome del canale, il numero degli iscritti, la data di creazione, lo stato della monetizzazione e il canale ufficiale del proprietario.

Il virus, infine, è anche in grado di controllare il motore di ricerca sfruttando la libreria Rod, diffusamente usata per operazioni di automazione e scraping web. Questa caratteristica di completa automazione fa sì che YTStealer non faccia distinzione tra canali di grandi o piccole dimensioni, e sempre basandoci sulle parole rei ricercatori Intezer, non sarebbe strano se gli account sottratti venissero rivenduti sul DarkWeb, chiaramente a prezzi direttamente proporzionali alle dimensioni del canale.

🔴 Fonte: www.hwupgrade.it

1 COMMENT

LEAVE A REPLY

Please enter your comment!
Please enter your name here