Malware YTStealer foca-se para os criadores de conteúdos no YouTube
Existe um novo malware pela Internet que se foca para os criadores do YouTube, com o objetivo de roubar as contas dos mesmos para publicação de conteúdos enganadores ou envio de spam para a plataforma.
Apelidado de YTStealer, este novo malware foi descoberto pelos investigadores da empresa Intezer, sendo que se foca em roubar os dados de login sobre a plataforma de vídeos da Google.
Tendo em conta que o malware foca-se sobretudo para criadores, este é distribuído a partir de supostos programas de edição de vídeos, muitas vezes fornecidos em sites de pirataria. Este pode mascarar-se sobre programas como o OBS Studio, Adobe Premiere Pro, FL Studio, Ableton Live, Antares Auto-Tune Pro, e Filmora.
Por vezes este pode também ser encontrado em conteúdos que os criadores usam, sobretudo a comunidade gamer, como é o caso de jogos piratas do Grand Theft Auto V, programas de cheats para CS:GO ou para Valorant. Os investigadores também o descobriram sobre alguns programas que prometem gerar acesso do Discord Nitro e Spotify Premium.
Quando este é instalado num sistema, o mesmo começa por analisar os dados do navegador, de forma a identificar se existe o potencial de o utilizador ter uma conta no YouTube como criador. Depois disso, procede ao roubo e envio de dados como o nome do canal, subscritores ativos, estado da monetização, entre outros detalhes. Estes dados são enviados para servidores em controlo dos atacantes.
Todo este processo é realizado em segundo plano, muitas vezes sem as vítimas terem exatamente noção do que está a acontecer a menos que venham processos suspeitos nos seus sistemas. O malware recolhe os tokens e cookies de acesso diretamente do navegador, para garantir que as vitimas nem sequer sejam alertadas para o caso.
As contas que são recolhidas pelo malware podem ser usadas para vários fins. Em algumas situações as mesmas são usadas para o envio de conteúdos de spam para a plataforma, aproveitando os subscritos para propagar esquemas e mais malware. Em outras situações, as contas são guardadas pelos gestores do malware, sendo colocadas à venda na Dark Web – sobretudo contas de criadores com elevados valores de subscritos na plataforma.
O mais interessante deste malware encontra-se no facto de usar os tokens das contas para acesso, o que basicamente permite contornar medidas de proteção como a autenticação em duas etapas nos sistemas infetados. Uma das formas de se proteger contra este ataque passa por sair das contas periodicamente.