YTStealer: il malware predatore dei creator di YouTube

Nell’ecosistema di YouTube, una nuova minaccia si aggira inosservata, prendendo di mira i creatori di contenuti: si tratta di YTStealer.

Questo malware sofisticato è stato progettato con un obiettivo preciso: rubare i cookie di autenticazione di YouTube, permettendo agli hacker di accedere ai canali senza bisogno delle password.

Come Agisce YTStealer, il malware dedicato ai creatori di video

YTStealer è un malware e un vero maestro del travestimento.

L’infezione si diffonde attraverso annunci truffaldini presenti su alcune pagine web a addirittura via email (tramite quindi tecniche di phishing e social engineering).
Generalmente, il malware si cela all’interno di pacchetti software che propongono versioni contraffatte di popolari strumenti di editing video come OBS Studio, Adobe Premiere. Questo approccio si basa sulla tecnica di social engineering, che sfrutta la fiducia degli utenti nei confronti di software famosi.
Gli hacker inseriscono il codice malevolo in queste applicazioni contraffatte, creando un punto di ingresso sul dispositivo dell’utente non appena il software viene scaricato e installato.

Una volta attivo sul dispositivo, YTStealer malware esegue una serie di controlli per valutare l’ambiente in cui opera.
Il malware utilizza tecniche di anti-analisi per identificare e neutralizzare eventuali ambienti virtuali o sandbox, che sono comunemente usati per rilevare malware. Si avvale di algoritmi sofisticati per eludere i software di sicurezza, basandosi sul codice del progetto Chacal. Questo passaggio è cruciale per la sua sopravvivenza, poiché permette al malware di terminare la sua esecuzione in caso di rilevamento, evitando così l’analisi da parte degli esperti di sicurezza.

Superata la fase di sicurezza, YTStealer passa all’azione principale: la raccolta di cookie di autenticazione e credenziali.
Questa fase sfrutta una tecnica sofisticata di manipolazione del browser, dove il malware apre una finestra del browser in background, invisibile all’utente.
Utilizza la libreria Rod, una potente utility per l’automazione e l’estrazione di dati, per interagire con il browser. Attraverso questo processo, raccoglie in modo silenzioso i cookie di autenticazione, che gli consentono l’accesso ai canali YouTube senza bisogno delle credenziali dell’utente.

Rischi di YTStealer

Questo malware non fa distinzioni tra canali grandi o piccoli: ogni account YouTube è un bersaglio potenziale.
Gli account compromessi vengono spesso venduti sul dark web, dove il loro valore dipende dalla popolarità e dall’influenza del canale.
Gli hacker usano i cookie rubati per dirottare i canali in varie truffe o richiedere riscatti ai legittimi proprietari.

Le informazioni sottratte da YTStealer sono in genere:

nome account;
numero di abbonati;
età degli stessi;
dati riguardanti la monetizzazione.

Tutti i dati, sono poi sottoposti a crittografia e inviati ad un server gestito dagli hacker che hanno impiegato questo sistema.

YTStealer: aspirante ransomware o semplice infostealer?

YTStealer consente ai cybercriminali di estorcere riscatti per i dati acquisiti o di metterli in vendita, operando in maniera analoga ai ransomware.

Vittime del malware

YTStealer non discrimina tra canali di ampia o ristretta portata: procede con un’azione indiscriminata attaccando qualsiasi canale YouTube delegando ai gestori del malware le valutazioni specifiche in una fase successiva.

Proteggersi da YTStealer

Nella lotta contro YTStealer, una combinazione di tecniche avanzate di protezione e prassi operative consapevoli è essenziale.
Questo include l’adozione di software antimalware con capacità di rilevamento in tempo reale, mantenendo aggiornati sistema operativo e applicazioni per sfruttare le patch di sicurezza più recenti. Parallelamente, è fondamentale educare gli utenti alle tattiche di ingegneria sociale e all’importanza di evitare download da fonti non verificate. L’attivazione dell’autenticazione a più fattori (MFA) fornisce un ulteriore strato di sicurezza, mentre un monitoraggio costante dell’attività dell’account e del traffico di rete può aiutare a identificare segni precoci di compromissione. Infine, pratiche come il logout regolare dagli account e la verifica periodica delle attività sospette rappresentano passi cruciali per mitigare il rischio di attacchi.

Autore articolo
Gli ultimi articoli

Anna Orrù

Classe 1990, dopo la laurea in Scienze Politiche mi sono trasferita in Inghilterra. Ho sempre amato la scrittura e ad oggi mi occupo, oltre che di digital marketing, di copywriting e Seo. La curiosità guida ogni ambito in cui opero, infatti non smetto mai di aggiornarmi e studiare.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.