El nuevo spyware YTStealer está apuntando a cuentas de creadores de Youtube con el objetivo de tomar el control de ellas mediante el robo de sus cookies de autenticación. El malware contiene instaladores maliciosos que atraen a los usuarios, haciéndose pasar por un software que edita videos y que permite obtener contenido para nuevos videos. […]
El nuevo spyware YTStealer está apuntando a cuentas de creadores de Youtube con el objetivo de tomar el control de ellas mediante el robo de sus cookies de autenticación.
El malware contiene instaladores maliciosos que atraen a los usuarios, haciéndose pasar por un software que edita videos y que permite obtener contenido para nuevos videos.
Antes de ejecutarse en el host, el malware YTStealer realiza varias comprobaciones anti-sandbox a través de la utilidad gratuita Chacal.
El malware examina cuidadosamente los archivos de la base de datos SQL del navegador para buscar tokens de autenticación de YouTube.
Después de agregar la cookie robada a su tienda, inicia el navegador web en modo Headless para validarlos.
Si es válido, el malware también recopila información adicional, como el nombre del canal de YouTube, el número de suscriptores, la fecha de creación, el estado de monetización y el estado oficial de la cuenta del artista.
Según la plataforma de operaciones de seguridad autónoma, las cuentas de YouTube robadas se venden en la Dark Web.
Los compradores de las cuentas comprometidas generalmente usan estas cookies de autenticación robadas para secuestrar los canales de YouTube para varias estafas o exigir un rescate de los propietarios reales.
Los precios dependen del tamaño del canal: cuanto más grande e influyente sea un canal de YouTube, más cara será su compra.
A pesar de que las cuentas de los creadores de contenido de YouTube están protegidas por autenticación multifactor, los ciberdelincuentes pueden eludir la MFA y acceder a sus cuentas.
Los creadores de YouTube pueden considerar cerrar sesión en sus cuentas periódicamente para invalidar cualquier token de autenticación que se haya creado o robado anteriormente.
Artículos relacionados
Marriott confirma una nueva brecha de datos, posiblemente exponiendo información sobre clientes y empleados
7 de julio de 2022La cadena hotelera confirmó el martes que actores maliciosos irrumpieron en sus redes informáticas y luego intentaron extorsionar a la empresa, marcando el último de una serie de ataques cibernéticos exitosos.
