YTStealer, un malware qui s’en prend aux créateurs de contenu sur YouTube
Un nouveau logiciel malveillant surnommé YTStealer s'en prend aux créateurs de contenu sur YouTube dans l'objectif de prendre le contrôle de leur chaîne pour revendre les accès sur le Dark Web. Comment ? En volant les jetons d'authentification.
Ce malware est un peu particulier, car il s'en prend uniquement aux comptes YouTube, contrairement à d'autres malwares qui ciblent des comptes de différents types. Un article détaillé au sujet de YTStealer est disponible sur le site d'Intezer.
Pour se propager et tenter de faire de nouvelles victimes, les cybercriminels distribuent des logiciels d'édition vidéos qui font office de leurre, car ces versions malveillants de logiciels bien connus intègrent le malware YTStealer. Par exemple, YTStealer est distribué dans des versions malveillantes des logiciels suivants : OBS Studio, Adobe Premiere Pro, FL Studio, Ableton Live, Antares Auto-Tune Pro, et Filmora.
Ce n'est pas tout, car un second mode de distribution cible surtout les créateurs de contenu sur la thématique du jeu vidéo. En effet, des mods piégés pour plusieurs jeux comme GTA V, Counter-Strike Go, Call of Duty, Valorant ou encore au sein de hacks pour Roblox. Enfin, les chercheurs en sécurité l'ont repéré au sein de générateur de jetons pour Discord Nitro et Spotify Premium.
Lorsqu'une machine est compromise, le malware analyse les fichiers de base de données du navigateur pour récupérer les jetons d'authentification (cookies) pour YouTube. Ensuite, il les valide en lançant le navigateur web en tâche de fond et en utilisant le cookie dérobé (ce qui permet d'outrepasser le MFA, s'il est actif). YTStealer profite de cet accès pour récupérer plusieurs informations : nom de la chaîne, nombre d'abonnés, date de création, statut de la monétisation, etc... Les comptes YouTube compromis sont ensuite mis en vente sur le Dark Web. Ce malware s'en prend aussi bien aux petites chaînes qu'aux chaînes plus importantes comme il est totalement automatisé.
Dans de nombreux cas, YTStealer n'est pas la seule souche malveillante présente ! En fait, il est bien souvent accompagné d'un autre logiciel malveillant capable de dérober plus d'informations, comme les mots de passe enregistrés dans les navigateurs, comme c'est le cas de RedLine et Vidar. Disons que YTStealer, c'est le petit bonus offert par les pirates informatiques.
