Phần mềm độc hại mới có tên là YTStealer thực hiện đánh cắp cookie xác thực từ những người sáng tạo trên YouTube. Cookie xác thực là những cookie thường được các trang web sử dụng để cho phép người dùng truy cập dịch vụ mà không cần nhập thông tin đăng nhập. Điều khác biệt với các phần mềm độc hại tương tự khác là nó được thiết kế độc quyền để sở hữu thông tin đăng nhập liên quan đến một dịch vụ duy nhất: YouTube.
YTStealer mở trình duyệt ở chế độ headless (không có giao diện đồ họa). Bằng cách này, tội phạm mạng có thể điều hướng như thể chúng đang ngồi ở vị trí của người dùng mà người dùng không nhận thấy bất cứ điều gì. Sau khi kết nối với trang YouTube Studio mà người sáng tạo sử dụng để quản lý nội dung của họ, phần mềm độc hại sẽ tiếp quản các thông tin như tên tài khoản, số lượng người đăng ký và kênh nào được kiếm tiền.
Dữ liệu sau đó được mã hóa và gửi đến một máy chủ có miền là youbot[.]solutions. Tên miền này liên quan đến một công ty Hoa Kỳ có trụ sở tại New Mexico và đăng ký vào tháng 12/2021. Các chuyên gia không tìm ra mối quan hệ nào giữa phần mềm độc hại và Youbot Solutions LLC cho tới thời điểm này.
Intezer suy đoán rằng YTStealer đang được bán dưới dạng dịch vụ trên dark web cho các nhóm tội phạm mạng khác. Tuy phần mềm độc hại này không phân biệt giữa các tài khoản nhỏ và lớn, dù với vài chục hay hàng triệu người theo dõi, nhưng giá mua dữ liệu khác nhau tùy thuộc vào tính chất và quy mô của tài khoản bị tấn công.
Vì YTStealer là phần mềm độc hại dành riêng cho người tạo video, các tệp chứa nó được ngụy trang thành tệp cài đặt của các chương trình như OBS Studio (một dịch vụ phát trực tuyến mã nguồn mở) và một số phần mềm chỉnh sửa video như Adobe Premiere Pro, Filmora và HitFilm Express. Các chuyên gia khuyến cáo, người dùng chỉ dựa vào các nguồn tin cậy đã được xác minh để tải xuống các chương trình và ứng dụng.
"Đối với dữ liệu xác thực bị đánh cắp từ YouTube, chúng tôi chưa phân tích được nó sẽ kiếm tiền như thế nào ở các giai đoạn tiếp theo," các nhà nghiên cứu của Intezer kết luận. "Một trong những khả năng có thể xảy ra là hành vi lừa đảo đối với người đăng ký kênh".
Hoàng Khôi
14:00 | 31/08/2022
23:00 | 02/09/2022
09:00 | 08/07/2022
09:00 | 19/05/2022
13:00 | 02/08/2022
10:00 | 04/01/2023
09:00 | 25/05/2022
15:00 | 19/01/2023
10:00 | 31/01/2024
08:00 | 23/05/2022
14:00 | 09/12/2022
10:00 | 08/04/2022
09:00 | 10/12/2018
08:00 | 17/04/2024
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
08:00 | 21/03/2024
Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
15:00 | 26/01/2024
Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024