Phát hiện phần mềm độc hại mới đánh cắp tài khoản YouTube
Phần mềm độc hại mới có tên là YTStealer thực hiện đánh cắp cookie xác thực từ những người sáng tạo trên YouTube. Cookie xác thực là những cookie thường được các trang web sử dụng để cho phép người dùng truy cập dịch vụ mà không cần nhập thông tin đăng nhập. Điều khác biệt với các phần mềm độc hại tương tự khác là nó được thiết kế độc quyền để sở hữu thông tin đăng nhập liên quan đến một dịch vụ duy nhất: YouTube.
YTStealer mở trình duyệt ở chế độ headless (không có giao diện đồ họa). Bằng cách này, tội phạm mạng có thể điều hướng như thể chúng đang ngồi ở vị trí của người dùng mà người dùng không nhận thấy bất cứ điều gì. Sau khi kết nối với trang YouTube Studio mà người sáng tạo sử dụng để quản lý nội dung của họ, phần mềm độc hại sẽ tiếp quản các thông tin như tên tài khoản, số lượng người đăng ký và kênh nào được kiếm tiền.
Dữ liệu sau đó được mã hóa và gửi đến một máy chủ có miền là youbot[.]solutions. Tên miền này liên quan đến một công ty Hoa Kỳ có trụ sở tại New Mexico và đăng ký vào tháng 12/2021. Các chuyên gia không tìm ra mối quan hệ nào giữa phần mềm độc hại và Youbot Solutions LLC cho tới thời điểm này.
Intezer suy đoán rằng YTStealer đang được bán dưới dạng dịch vụ trên dark web cho các nhóm tội phạm mạng khác. Tuy phần mềm độc hại này không phân biệt giữa các tài khoản nhỏ và lớn, dù với vài chục hay hàng triệu người theo dõi, nhưng giá mua dữ liệu khác nhau tùy thuộc vào tính chất và quy mô của tài khoản bị tấn công.
Vì YTStealer là phần mềm độc hại dành riêng cho người tạo video, các tệp chứa nó được ngụy trang thành tệp cài đặt của các chương trình như OBS Studio (một dịch vụ phát trực tuyến mã nguồn mở) và một số phần mềm chỉnh sửa video như Adobe Premiere Pro, Filmora và HitFilm Express. Các chuyên gia khuyến cáo, người dùng chỉ dựa vào các nguồn tin cậy đã được xác minh để tải xuống các chương trình và ứng dụng.
"Đối với dữ liệu xác thực bị đánh cắp từ YouTube, chúng tôi chưa phân tích được nó sẽ kiếm tiền như thế nào ở các giai đoạn tiếp theo," các nhà nghiên cứu của Intezer kết luận. "Một trong những khả năng có thể xảy ra là hành vi lừa đảo đối với người đăng ký kênh".
Hoàng Khôi