Пользователи YouTube стали новой целью хакеров

"Что отличает YTStealer от других крадущих программ, продающихся на рынке Dark Web, так это то, что он сосредоточен исключительно на сборе учетных данных для одного единственного сервиса, а не на захвате всего, до чего он может дотянуться", - написал Йоаким Кеннеди, исследователь из компании Intezer. "Когда дело доходит до фактического процесса, это похоже на то, что наблюдается у других крадущих устройств. Куки извлекаются из файлов базы данных браузера в папке профиля пользователя".

Как только вредоносная программа получает cookie-файлы YouTube, она подключается к странице YouTube Studio. Затем YTStealer извлекает всю доступную информацию об аккаунте пользователя, включая имя аккаунта, количество подписчиков, возраст, а также информацию о том, монетизируются ли каналы.

Затем вредоносная программа шифрует каждый образец данных уникальным ключом и отправляет их на командно-контрольный сервер.

Исследователи Intezer заметили, что файлы, используемые для установки вредоносной программы на компьютеры жертв, загружают другие программы для кражи учетных данных, в том числе RedLine и Vidar. Многие из этих файлов замаскированы под установщики обычных программ.