Phần mềm độc hại mới có tên là YTStealer thực hiện đánh cắp cookie xác thực từ những người sáng tạo trên YouTube. Cookie xác thực là những cookie thường được các trang web sử dụng để cho phép người dùng truy cập dịch vụ mà không cần nhập thông tin đăng nhập. Điều khác biệt với các phần mềm độc hại tương tự khác là nó được thiết kế độc quyền để sở hữu thông tin đăng nhập liên quan đến một dịch vụ duy nhất: YouTube.
Dữ liệu sau đó được mã hóa và gửi đến một máy chủ có miền là youbot[.]solutions. Tên miền này liên quan đến một công ty Hoa Kỳ có trụ sở tại New Mexico và đăng ký vào tháng 12/2021. Các chuyên gia không tìm ra mối quan hệ nào giữa phần mềm độc hại và Youbot Solutions LLC cho tới thời điểm này.
Intezer suy đoán rằng YTStealer đang được bán dưới dạng dịch vụ trên dark web cho các nhóm tội phạm mạng khác. Tuy phần mềm độc hại này không phân biệt giữa các tài khoản nhỏ và lớn, dù với vài chục hay hàng triệu người theo dõi, nhưng giá mua dữ liệu khác nhau tùy thuộc vào tính chất và quy mô của tài khoản bị tấn công.
Vì YTStealer là phần mềm độc hại dành riêng cho người tạo video, các tệp chứa nó được ngụy trang thành tệp cài đặt của các chương trình như OBS Studio (một dịch vụ phát trực tuyến mã nguồn mở) và một số phần mềm chỉnh sửa video như Adobe Premiere Pro, Filmora và HitFilm Express. Các chuyên gia khuyến cáo, người dùng chỉ dựa vào các nguồn tin cậy đã được xác minh để tải xuống các chương trình và ứng dụng.
"Đối với dữ liệu xác thực bị đánh cắp từ YouTube, chúng tôi chưa phân tích được nó sẽ kiếm tiền như thế nào ở các giai đoạn tiếp theo," các nhà nghiên cứu của Intezer kết luận. "Một trong những khả năng có thể xảy ra là hành vi lừa đảo đối với người đăng ký kênh".
