Si chiama YTStealer e, come si intuisce dal suo nome, è un malware progettato per colpire un target molto specifico: gli youtuber. Il malware è in grado di rubare i cookie di autenticazione dei creator di YouTube: parliamo dei cookie che vengono utilizzati per salvare in memoria un utente, in modo da consentirgli l’accesso in futuro senza dover reinserire le credenziali.

YTStealer non si occupa degli altri social network, ma è progettato esclusivamente per rubare le credenziali di YouTube.

YouTube da tempo è una risorsa preziosa per i criminali che, rubando l’account dei content creator più grossi, possono raggiungere con le loro truffe un pubblico molto vasto.

YTStealer apre il browser in modalità headless, cioè in background, senza che sul computer compaia nulla. Poi, da remoto, gli hacker possono accedere alla pagina YouTube Studio e pubblicare a piacere quello che vogliono. Magari il video promozionale di un finto concorso sulle criptovalute.

Il malware, poi, ruba tutto ciò che è possibile rubare: le informazioni sul canale, il numero di iscritti, quali video sono monetizzati e così via. I dati vengono inviati ad un server privato registrato presso un’azienda legittima con sede in New Mexico. Non è chiaro se i server siano stati utilizzati abusivamente, o se l’azienda in questione ha un ruolo nella frode. Più probabile la prima ipotesi.

Il malware viene distribuito attraverso alcune versioni crackate di popolari programmi per il video editing, come OBS Studio e Adobe Premiere. “Non sappiamo come vengano usati i canali rubati, non è parte della nostra indagine”, spiegano i ricercatori di Intezer che hanno scoperto e denunciato il malware. “Riteniamo verosimile che possano essere usati per truffare gli iscritti al canale”.