قام باحثوا الأمن السيبراني باكتشاف يرنامج ضار جديد يهدف الى سرقة واختراق ملفات تعريف الارتباط الخاصة بمنشئي المحتوى Youtube.
يُعتقد أن الأداة يطلق عليها Intezer اسم "YTStealer" كخدمة على شبكة الويب المظلمة، حيث يتم توزيعها باستخدام أدوات تثبيت وهمية تقوم أيضًا بإسقاط RedLine Stealer و Vidar.
قال الباحث الأمني Joakim Kenndy في تقرير تمت مشاركته مع The Hacker: "ما يميز YTStealer بعيدًا عن المخترقين الآخرين الذين يتم بيعهم في سوق الويب المظلم هو أنه يركز فقط على جمع بيانات الاعتماد لخدمة واحدة".
ومع ذلك، فإن طريقة عمل البرامج الضارة تعكس نظيراتها من حيث أنها تستخرج معلومات ملفات تعريف الارتباط من ملفات قاعدة بيانات متصفح الويب في مجلد ملف تعريف المستخدم. السبب وراء استهداف منشئي المحتوى هو أنه يستخدم أحد المتصفحات المثبتة على الجهاز المصاب لجمع معلومات قناة YouTube المستهدفة.
يحقق ذلك عن طريق تشغيل المتصفح في headless mode وإضافة ملف تعريف الارتباط إلى مخزن البيانات ، متبوعًا باستخدام أداة أتمتة الويب تسمى Rod للانتقال إلى صفحة YouTube Studio الخاصة بالمستخدم، والتي تمكن منشئي المحتوى من "إدارة تواجدك، وتنمية قناتك والتفاعل مع جمهورك وكسب المال".
من هناك، تلتقط البرامج الضارة معلومات حول قنوات المستخدم، بما في ذلك الاسم وعدد المشتركين وتاريخ إنشائها، جنبًا إلى جنب مع التحقق مما إذا كانت قناة فنان رسمية، وما إذا كان قد تم التحقق من الاسم، وكلها مسربة إلى خادم بعيد يحمل اسم المجال "حلول youbot [.]."
