Gli esperti hanno rilevato un nuovo virus informatico molto pericoloso e che, alcuni di noi, potrebbero trovare veramente ingegnoso dato che agisce diversamente da tutti gli altri malware. Come si mette all’opera?
il nome del nuovo virus di cui vi abbiamo fatto accenno è YTStealer, e basa tutte le sue capacità sulla diffusione spacciandosi per software o strumenti dedicati al mondo video, come ad esempio OBS Studio, Adobe Premiere Pro, FL Studio, Ableton Live, Filmora e Antares Auto-Tune. In altri scenari ha come scopo principale quello di andare a prendere di mira i creator che realizzano contenuti a tema gaming.
Gli esperti, andando avanti, hanno anche scoperto che in genere viene distribuito insieme ad altri malware simili, come ad esempio RedLine e Vidar, e data la sua specializzazione indirizzata a YouTube viene per lo più considerato una sorta di “accessorio” che può essere unito ad altri malware già esistenti. Possiamo dire che abbia una modalità d’uso differente rispetto a quella a cui siamo abituati.
Come agisce il virus
Lo YTStealer usa uno strumento open source Chacal con l’obiettivo preciso di condurre alcune verifiche anti-sandbox prima di essere seguito sul sistema preso di mira. Ma nel momento in cui il software viene considerato come un bersaglio valido, il malware condivide i file del database SQL del browser per individuare i token di autenticazione di YouTube. Arrivato qui, è sufficiente scegliere volontariamente di convalidarli avviando il browser web in modalità headless e passando i token sottratti.
Il sistema consente di avviare il browser senza interfaccia grafica, facendo passare inosservata l’operazione all’utente a meno che non vada ad osservare nello specifico i processi in esecuzione sul software. E se l’operazione va a buon fine come sperano che succeda gli hacker, i i token risultano validi, YTStealer sottrae altre informazioni come il nome del canale, il numero degli iscritti, la data di creazione, lo stato della monetizzazione e il canale ufficiale del proprietario.
Il virus, infine, è anche in grado di controllare il motore di ricerca sfruttando la libreria Rod, diffusamente usata per operazioni di automazione e scraping web. Questa caratteristica di completa automazione fa sì che YTStealer non faccia distinzione tra canali di grandi o piccole dimensioni, e sempre basandoci sulle parole rei ricercatori Intezer, non sarebbe strano se gli account sottratti venissero rivenduti sul DarkWeb, chiaramente a prezzi direttamente proporzionali alle dimensioni del canale.
? Fonte: www.hwupgrade.it