Các nhà nghiên cứu bảo mật đã phát hiện một phần mềm độc hại đánh cắp thông tin mới nhắm mục tiêu vào những người sáng tạo nội dung (content creator) YouTube bằng cách đánh cắp cookie xác thực của họ.
Được gọi là "YTStealer", công cụ độc hại này được cho là được bán dưới dạng dịch vụ trên dark web.
Nhà nghiên cứu Joakim Kenndy cho biết: "Điều khiến YTStealer khác biệt so với những công cụ đánh cắp thông tin khác được bán trên thị trường dark web là nó chỉ tập trung vào việc thu thập thông tin đăng nhập cho một dịch vụ duy nhất thay vì lấy mọi thứ mà nó có thể thu được".
Mã độc được thiết kế để trích xuất thông tin cookie từ các tệp cơ sở dữ liệu của trình duyệt web trong thư mục hồ sơ của người dùng. Nó sử dụng một trong những trình duyệt được cài đặt trên máy bị nhiễm virus để thu thập thông tin kênh YouTube.
Điều này đạt được bằng cách khởi chạy trình duyệt ở chế độ headless mode và thêm cookie vào kho dữ liệu (data store), tiếp theo là sử dụng một công cụ tự động có tên Rod để điều hướng đến trang YouTube Studio của người dùng - trang cho phép người sáng tạo nội dung "quản lý, phát triển kênh, tương tác với khán giả và kiếm tiền".
Từ đó, phần mềm độc hại thu thập thông tin về các kênh của người dùng, bao gồm tên, số lượng người đăng ký và ngày tạo kênh, ngoài ra nó có thể kiểm tra xem kênh đó có kiếm tiền hay kênh nghệ sĩ chính thức không. Tất cả thông tin sẽ được chuyển đến máy chủ từ xa có tên miền "youbot[.]solutions".
Một điểm đáng chú ý khác của YTStealer là việc nó sử dụng "anti-VM framework" mã nguồn mở Chacal để gây cản trở việc debug và phân tích bộ nhớ.
Tên miền trên được đăng ký từ ngày 12/12/2021 và có khả năng đã kết nối đến công ty phần mềm cùng tên đặt tại New Mexico của Mỹ - công ty cung cấp "các giải pháp để thu thập và kiếm tiền từ lưu lượng truy cập bị nhắm mục tiêu".
Giống với RedLine Stealer, YTStealer được phán tán chủ yếu qua các phần mềm giả mạo các ứng dụng hợp pháp, như phần mềm chỉnh sửa video Adobe Premiere Pro, Filmora và HitFilm Express; các công cụ audio như Ableton Live 11 và FL Studio; các game mod cho Counter-Strike: Global Offensive và Call of Duty, và các phiên bản crack của các sản phẩm bảo mật.
Nguồn: thehackernews.com
Tín nhiệm mạng | Lỗ hổng mới trong tiện ích UnRAR của RARlab có thể bị khai thác để thực thi mã tùy ý trên các hệ thống bị ảnh hưởng, bao gồm máy chủ Zimbra Webmail.
Tín nhiệm mạng | Microsoft đã xác nhận các sự cố kết nối Internet ảnh hưởng đến các máy chủ RRAS sau khi cài đặt các bản cập nhật Windows được phát hành trong Patch Tuesday của tháng này.
Tín nhiệm mạng | Một nỗ lực xâm nhập bị nghi ngờ là ransomware nhằm vào một mục tiêu chưa xác định đã lạm dụng thiết bị Mitel VoIP để thực thi mã từ xa và có được quyền truy cập ban đầu.
Tín nhiệm mạng | Cơ quan bảo mật của Mỹ cảnh báo về những nỗ lực khai thác lỗ hổng Log4Shell của các tác nhân đe dọa nhằm vào máy chủ VMware để xâm phạm hệ thống mục tiêu đã được phát hiện gần đây.
Tín nhiệm mạng | NSO Group đã thừa nhận với các nhà lập pháp Liên minh châu Âu rằng công cụ Pegasus của họ đã được ít nhất 5 quốc gia trong khu vực sử dụng.
Tín nhiệm mạng | Một nghiên cứu mới của các học giả tại ETH Zurich đã xác định một số vấn đề bảo mật nghiêm trọng trong dịch vụ lưu trữ cloud MEGA có thể bị lợi dụng để phá vỡ tính bảo mật và tính toàn vẹn của dữ liệu người dùng.