È stato rilevato un nuovo virus informatico estremamente pericoloso e che, alcuni di noi, potrebbero trovare veramente ingegnoso dato che agisce diversamente da tutti gli altri malware. Come funziona? 
il nome del nuovo virus è YTStealer, e basa tutte le sue capacità sulla diffusione spacciandosi per software o strumenti dedicati al mondo video, come ad esempio OBS Studio, Adobe Premiere Pro, FL Studio, Ableton Live, Filmora e Antares Auto-Tune. In altri contesti ha come obiettivo principale quello di andare a prendere di mira i creator che realizzano contenuti a tema gaming.
Gli esperti, proseguendo, hanno anche scoperto che in genere viene distribuito insieme ad altri malware simili, come ad esempio RedLine e Vidar, e data la sua specializzazione indirizzata a YouTube viene per lo più considerato una sorta di “accessorio” che può essere unito ad altri malware già esistenti. Diciamo che abbia una modalità d’uso differente rispetto a quella a cui siamo abituati.
Le azioni che compie YTStealer
Lo YTStealer sfrutta uno strumento open source Chacal con l’obiettivo preciso di condurre alcune verifiche anti-sandbox prima di essere seguito sul sistema preso di mira. Ma quando il software viene considerato come un bersaglio valido, il malware condivide i file del database SQL del browser per individuare i token di autenticazione di YouTube. A tal punto sceglie volontariamente di convalidarli avviando il browser web in modalità headless e passando i token sottratti.
Questo sistema, quindi, permette di avviare il browser senza interfaccia grafica, facendo passare inosservata l’operazione all’utente a meno che non vada ad osservare nello specifico i processi in esecuzione sul software. E se l’operazione va a buon fine e i token risultano validi, YTStealer sottrae altre informazioni come il nome del canale, il numero degli iscritti, la data di creazione, lo stato della monetizzazione e il canale ufficiale del proprietario.
Il virus, come se non bastasse, è anche in grado di controllare il browser sfruttando la libreria Rod, diffusamente usata per operazioni di automazione e scraping web. L’acquisizione dei dettagli del canale YouTube procede senza che vi sia una azione diretta dell’attore di minaccia. Questa caratteristica di completa automazione fa sì che YTStealer non faccia distinzione tra canali di grandi o piccole dimensioni, e sempre secondo i ricercatori Intezer non sarebbe strano se gli account sottratti venissero rivenduti sul DarkWeb, ovviamente a prezzi direttamente proporzionali alle dimensioni del canale.
🔴 Fonte: www.hwupgrade.it