YTStealer, un malware qui s’en prend aux créateurs de contenu sur YouTube

Un nouveau logiciel malveillant surnommé YTStealer s'en prend aux créateurs de contenu sur YouTube dans l'objectif de prendre le contrôle de leur chaîne pour revendre les accès sur le Dark Web. Comment ? En volant les jetons d'authentification.

Ce malware est un peu particulier, car il s'en prend uniquement aux comptes YouTube, contrairement à d'autres malwares qui ciblent des comptes de différents types. Un article détaillé au sujet de YTStealer est disponible sur le site d'Intezer.

Pour se propager et tenter de faire de nouvelles victimes, les cybercriminels distribuent des logiciels d'édition vidéos qui font office de leurre, car ces versions malveillants de logiciels bien connus intègrent le malware YTStealer. Par exemple, YTStealer est distribué dans des versions malveillantes des logiciels suivants : OBS Studio, Adobe Premiere Pro, FL Studio, Ableton Live, Antares Auto-Tune Pro, et Filmora.

Ce n'est pas tout, car un second mode de distribution cible surtout les créateurs de contenu sur la thématique du jeu vidéo. En effet, des mods piégés pour plusieurs jeux comme GTA V, Counter-Strike Go, Call of Duty, Valorant ou encore au sein de hacks pour Roblox. Enfin, les chercheurs en sécurité l'ont repéré au sein de générateur de jetons pour Discord Nitro et Spotify Premium.

Lorsqu'une machine est compromise, le malware analyse les fichiers de base de données du navigateur pour récupérer les jetons d'authentification (cookies) pour YouTube. Ensuite, il les valide en lançant le navigateur web en tâche de fond et en utilisant le cookie dérobé (ce qui permet d'outrepasser le MFA, s'il est actif). YTStealer profite de cet accès pour récupérer plusieurs informations : nom de la chaîne, nombre d'abonnés, date de création, statut de la monétisation, etc... Les comptes YouTube compromis sont ensuite mis en vente sur le Dark Web. Ce malware s'en prend aussi bien aux petites chaînes qu'aux chaînes plus importantes comme il est totalement automatisé.

Dans de nombreux cas, YTStealer n'est pas la seule souche malveillante présente ! En fait, il est bien souvent accompagné d'un autre logiciel malveillant capable de dérober plus d'informations, comme les mots de passe enregistrés dans les navigateurs, comme c'est le cas de RedLine et Vidar. Disons que YTStealer, c'est le petit bonus offert par les pirates informatiques.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5471.Voir tous les posts

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.