Cada día se ha vuelto más común el descubrimiento de nuevos malwares que buscan secuestrar información sensible de organizaciones grandes y/o pequeñas, sectores gubernamentales entre otros. Esta vez, el objetivo de YTStealer (un malware recientemente descubierto por investigadores de ciberseguridad) son las cuentas de creadores de contenido de YouTube. El nombre de este malware fue otorgado por la empresa Intezer, quienes creen que la herramienta maliciosa se vende como un servicio en la web oscura y se distribuye utilizando instaladores falsos que también dejan caer RedLine Stealer y Vidar. YTStealer, trabaja extrayendo información de las cookies de los archivos de la base de datos del navegador web en la carpeta del perfil del usuario. El razonamiento que se da para dirigirse a los creadores de contenidos es que utiliza uno de los navegadores instalados en la máquina infectada para recopilar la información del canal de YouTube. Esto, lo consigue lanzando el navegador en modo headless y añadiendo la cookie al almacén de datos, seguido por el uso de una herramienta de automatización web llamada Rod para navegar a la página de YouTube Studio del usuario, que permite a los creadores de contenidos "gestionar su presencia, hacer crecer su canal, interactuar con su audiencia y ganar dinero, todo en un solo lugar". A partir de ahí, el malware captura información sobre los canales del usuario , incluyendo el nombre, el número de suscriptores y su fecha de creación, además de comprobar si está monetizado, si es un canal oficial de un artista y si el nombre ha sido verificado, todo lo cual se exfiltra a un servidor remoto con el nombre de dominio "youbot[.]solutions". "Lo que diferencia a YTStealer de otros robos que se venden en el mercado de la web oscura es que se centra exclusivamente en la recolección de credenciales para un solo servicio en lugar de tomar todo lo que puede conseguir", dijo el investigador de seguridad Joakim Kenndy en un informe. Otro aspecto notable de YTStealer es su uso del "marco anti-VM" de código abierto Chacal en un intento de frustrar la depuración y el análisis de la memoria. Un análisis más detallado del dominio reveló que fue registrado el 12 de diciembre de 2021 y que posiblemente esté conectado a una empresa de software del mismo nombre que está ubicada en el estado de Nuevo México y que afirma proporcionar "soluciones únicas para obtener y monetizar el tráfico dirigido." Dicho esto, la inteligencia de código abierto recopilada por Intezer también ha vinculado el logotipo de la supuesta empresa a una cuenta de usuario en un servicio iraní para compartir vídeos llamado Aparat. La mayoría de las cargas útiles que distribuyen YTSteale r junto con RedLine Stealer están empaquetadas bajo la apariencia de instaladores de software legítimo de edición de vídeo como Adobe Premiere Pro, Filmora y HitFilm Express; herramientas de audio como Ableton Live 11 y FL Studio; mods de juegos para Counter-Strike: Global Offensive y Call of Duty, además de versiones crackeadas de productos de seguridad. "YTStealer no discrimina las credenciales que roba. En la web oscura, la 'calidad' de las credenciales de cuentas robadas influye en el precio que se pide, por lo que el acceso a los canales de YouTube más influyentes tendría. Así lo aseguró Kenndy.