Специалисти по сигурност алармират за поредната кампания, в която хакери крадат масово лични данни. Тази кампания обаче е леко по-различна от другите сходни атаки.

Intezer предава за активни атаки към създатели на съдържание в YouTube с програма, наречена YTstealer. За разлика от другите зловредни приложения, които крадат данни за вписване и друг тип лична информация, YTstealer е насочен към кражбата на данни от една конкретна услуга – популярната видео платформа на Google. Що се отнася до вектора ѝ на разпространение, то той се осъществява по обичайния начин – чрез изпиратстван софтуер и кракове за програми. Става дума за троянизирани версии на софтуер, като Adobe Premiere Pro, Filmora, HitFilm Express, Antares Auto-Tune Pro, Valhalla DSP, FabFilter Total, Xfer Serum и OBS Studio, кракове (за програми, като Norton Security, Malwarebytes, Discord Nitro, Stepn, Spotify Premium) и чийтове за видеоигри (Grand Theft Auto V, Roblox, Counter-Strike, Call of Duty), зловредни версии на обслужващи програми, като Driver Booster и Driver Easy.

Когато YTstealer се установи на системата, той профилира системата и търси автентикационна бисквитка за YouTube. Следва стартирането на браузър в команден режим (headless mode) и добавянето на бисквитката в него, а за по-лесното му управление, програмата използва и открита библиотека с името Rod.

Използвайки браузърът, YTstealer посещава Studio страницата в YouTube профила на жертвата и краде наличната в нея информация – име на канала, брой на последователите му, каква е възрастта му, дали е монетизиран или не, официалния канал на жертвата, както и това дали е верифицирано името му. Цялата тази информация бива криптирана с ключ, който е уникален за всеки един пакет с данни и ги изпраща със съответен идентификатор към сървър, контролиран от хакерите.

И тук идва следващия любопитен момент в разследването на Intezer. Специалистите установяват, че сървъра, към който се изпраща информацията принадлежи на реална компания със седалище в Ню Мексико. Проверката отвежда Intezer към компания с физически адрес, която рекламира себе си, като „компания, която предоставя уникални решения за разработка и монетизиране на таргетиран трафик“. Логотипът на сайта на компанията ги провокира да направят допълнителна проверка, която ги отвежда към ирански сайт за видеосподеляне и Twitter профила на конкретен потребител. А освен основната програма, YTstealer носи в повечето случаи и други зловредни програми, чиято функция е кражбата на данни, което навежда на мисълта, че YTstealer се разпространява, като „услуга под наем“ и разпространителите му са много.

„Пишейки за това как тази зловредна програма заразява жертвите си, ние може да забележим тенденция. Повечето от фалшивите инсталатори, които се използват тук са за кракнати версии на легитимен софтуер. Регистрираме също така и фалшиви инсталатори за моддове и чийтове за игри. Когато става въпрос за това как да се защитите, то класическите практики за сигурност трябва да бъдат приложени тук. Използвайте софтуер само от доверени източници“, съветва Йоаким Кенеди от Intezer.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest

0 Коментара
Отзиви
Всички коментари