Cybersecurity-Forscher haben eine neue Malware entdeckt, die Informationen über YouTube-Inhalte stiehlt, indem sie deren Authentifizierungs-Cookies plündert.
Das von Intezer als „YTStealer“ bezeichnete bösartige Tool wird vermutlich als Service im Dark Web verkauft und über gefälschte Installationsprogramme verbreitet, die auch RedLine Stealer und Vidar ausliefern.
„Was YTStealer von anderen Stealern unterscheidet, die im Dark Web verkauft werden, ist, dass er sich ausschließlich auf das Sammeln von Zugangsdaten für einen einzigen Dienst konzentriert und nicht alles mitnimmt, was er in die Finger bekommt“, so der Sicherheitsforscher Joakim Kenndy in einem Bericht an The Hacker News.
Der Modus Operandi der Malware ist jedoch ähnlich wie bei ihren Gegenspielern: Sie extrahiert die Cookie-Informationen aus den Datenbankdateien des Webbrowsers im Profilordner des Nutzers. Der Grund, warum er es auf Content Creators abgesehen hat, ist, dass er einen der installierten Browser auf dem infizierten Rechner nutzt, um Informationen über YouTube-Kanäle zu sammeln.
Dies geschieht, indem der Browser im Headless-Modus gestartet wird und das Cookie zum Datenspeicher hinzugefügt wird. Anschließend wird ein Web-Automatisierungstool namens Rod verwendet, um zur YouTube-Studio-Seite des Nutzers zu navigieren, die es Content Creators ermöglicht, „deine Präsenz zu verwalten, deinen Kanal zu vergrößern, mit deinem Publikum zu interagieren und Geld zu verdienen – alles an einem Ort“.
Von dort aus erfasst die Malware Informationen über die Kanäle des Nutzers, einschließlich des Namens, der Anzahl der Abonnenten und des Erstellungsdatums, und prüft, ob der Kanal monetarisiert ist, ob es sich um einen offiziellen Künstlerkanal handelt und ob der Name verifiziert wurde, was alles auf einen Remote-Server mit dem Domainnamen „youbot[.]solutions“ übertragen wird.
Ein weiterer bemerkenswerter Aspekt von YTStealer ist die Verwendung des quelloffenen „Anti-VM-Frameworks“ Chacal, um Debugging und Speicheranalysen zu vereiteln.
Eine weitere Analyse der Domain hat ergeben, dass sie am 12. Dezember 2021 registriert wurde und möglicherweise mit einem gleichnamigen Softwareunternehmen mit Sitz im US-Bundesstaat New Mexico in Verbindung steht, das behauptet, „einzigartige Lösungen für die Gewinnung und Monetarisierung von gezieltem Traffic“ anzubieten.
Die von Intezer gesammelten Informationen haben das Logo des angeblichen Unternehmens auch mit einem Benutzerkonto bei einem iranischen Video-Sharing-Dienst namens Aparat in Verbindung gebracht.
Die meisten Dropper, die YTStealer zusammen mit RedLine Stealer ausliefern, werden unter dem Deckmantel von Installationsprogrammen für legitime Videobearbeitungssoftware wie Adobe Premiere Pro, Filmora und HitFilm Express, Audiotools wie Ableton Live 11 und FL Studio, Spielemods für Counter-Strike: Global Offensive und Call of Duty sowie geknackte Versionen von Sicherheitsprodukten.
„YTStealer macht keinen Unterschied, welche Zugangsdaten er stiehlt“, sagte Kenndy. Im Dark Web beeinflusst die „Qualität“ der gestohlenen Zugangsdaten den Preis, so dass für den Zugang zu einflussreicheren YouTube-Kanälen höhere Preise verlangt werden.