Um novo malware de roubo de dados, o YTStealer, mira criadores de conteúdo no YouTube para obter tokens de autenticação e sequestrar canais, alerta a empresa de cibersegurança Intezer, em relatório desta semana.
Segundo a companhia, o YTStealer se prolifera principalmente através de iscas que se passam por softwares de edição de áudio ou vídeo — entre eles, OBS Studio, Adobe Premiere Pro, FL Studio, Ableton Live e Filmora.
Em casos que têm como alvo criadores de conteúdo para jogos, o malware personifica mods de ‘Grand Theft Auto V’ e cheats para ‘Counter-Strike Go’ e ‘Call of Duty’. Além disso, foram identificados geradores de token e cracks para Discord Nitro e Spotify Premium com o novo malware.
De acordo com a Intezer, o YTStealer traz outros ladrões de dados, como RedLine e Vidar. Eles geralmente são lançados como um “bônus” especializado para roubar senhas de softwares com escopo mais amplo.
Como o malware se propaga
O YTStealer executa verificações anti-sandbox por meio da ferramenta open-source Chacal. Se a máquina infectada for considerada um alvo válido, o vírus examina os arquivos do banco de dados SQL no navegador para localizar os tokens de autenticação do YouTube.
Na sequência, eles são validados iniciando o modo headlessdo navegador e adicionando o cookie roubado à sua loja. Também podem ser coletadas informações adicionais como nome do canal do YouTube, contagem de inscritos, status de monetização e data de criação. O YTStealer é 100% automatizado e não discrimina entre contas pequenas ou grandes na plataforma.
De acordo com a Intezer, as contas roubadas são vendidas na dark web e os preços dependem do tamanho do canal. Compradores geralmente usam cookies de autenticação para exigir resgates ou efetuar golpes de criptomoedas.
O risco para criadores de conteúdo no YouTube é que os tokens de autenticação irão desconsiderar a autenticação multifatores e permitirão aos atacantes a execução do login. Neste sentido, a Intezer sugere aos criadores na plataforma que saiam de suas contas periodicamente para invalidar todos os tokens de autenticação que possam ter sido criados ou roubados anteriormente.
FONTE: OLHAR DIGITAL