新的YTStealer恶意软件旨在劫持YouTube内容创造者的账户

网络安全研究人员记录了一种新的信息窃取恶意软件，该软件通过盗取YouTube内容创建者的认证cookie来攻击他们。

这个被Intezer称为“YTStealer”的恶意工具很可能被认为是作为一项服务在黑暗网络上出售的，它使用假冒的安装程序进行分发，这些安装程序也会删除RedLine Stealer和Vidar。

安全研究人员Joakim Kenndy在与黑客新闻分享的一份报告中表示：“YTStealer与在黑暗的网络市场上出售的其他窃取者不同的是，它只专注于获取单一服务的凭据，而不是获取它能获得的一切”。

然而，该恶意软件的操作方式反映了它的对应方，即它从用户配置文件文件夹中的web浏览器数据库文件中提取cookie信息。针对内容创作者的理由是，它使用受感染机器上安装的浏览器之一来收集YouTube频道信息。

从那里，恶意软件捕获有关用户频道的信息，包括名称、订阅者数量和创建日期，同时检查其是否已货币化，是否为官方艺术家频道，以及名称是否已被验证，所有这些信息都会被过滤到带有域名“youbot[.”的远程服务器解决"。

YTStealer的另一个值得注意的方面是它使用了开源的Chacal“反虚拟机框架”，试图阻止调试和内存分析。

对该域名的进一步分析表明，该域名于2021 12月12日注册，可能与位于美国新墨西哥州的一家同名软件公司有关，该公司声称提供“获取目标流量并将其货币化的独特解决方案”

也就是说，Intezer收集的开源情报还将该公司的标志与伊朗一家名为Aparat的视频共享服务的用户帐户联系起来。

交付YTStealer和RedLine Stealer的大多数dropper有效载荷都以安装者的名义打包，用于合法的视频编辑软件，如Adobe Premiere Pro、Filmora和HitFilm Express，音频工具，如Ableton Live 11和FL Studio，反击游戏模式：全球进攻和使命召唤，安全产品的破解版本。

肯尼说：“YTStealer并不歧视它所窃取的证书”。“在黑暗的网络上，被盗账户凭证的质量会影响要价，因此访问更有影响力的YouTube频道会要求更高的价格”。