En ny trojansk-baseret virus spreder sig online og angriber intetanende YouTube-indholdsskabere. Den hedder YTStealer, og som navnet antyder, er den designet til at angribe et specifikt mål: YouTubere. Hvis du har den mindste mistanke om, at YTStealer kan have infiltreret din computer, skal du straks tage skridt til at opdage og fjerne den. Ellers kan denne malware påvirke hele dit system og alle de data, der er gemt på det.
Så hvad er YTStealer? Hvordan virker det? Og hvordan kan du beskytte dig mod det?
Hvordan virker YTStealer?
Der er adskillige typer malware, og mange har målrettet YouTube, da det længe har været en værdifuld ressource for kriminelle, der kan nå et stort publikum med deres svindel ved at stjæle konti fra store indholdsskabere.
YTStealer er en trojaner, der sælges på Dark Web og kan stjæle autentificeringscookies fra YouTube-skabere, hvilket betyder, at cookies bruges til at gemme en brugers hukommelse for at give dem mulighed for at logge på i fremtiden uden at gå ind igen legitimationsoplysninger.
YTStealer overtager ikke andre sociale netværk; det er udelukkende designet til at stjæle YouTube-legitimationsoplysninger. I de fleste tilfælde har YTStealer-infektioner ingen særlige symptomer, så det kan være udfordrende at opdage det i tide. Ofre har måske ingen anelse om, at de er blevet inficeret, før malwaren har forårsaget alvorlige problemer. Det er derfor, for at opdage og fjerne sådan malware, før de gør nogen reel skade, skal du køre en fuld systemscanning ved hjælp af evt. velrenommeret antivirussoftware.
YTStealer kan også fungere som en bagdør til din computer for ransomware eller spyware-infektioner, eller som et værktøj til spionage og datatyveri. Så hvis det ikke fjernes i tide, vil YTStealer give cyberkriminelle adgang til din enhed og give dem mulighed for at ændre, korrumpere, udskifte og installere, hvad de vil.
Hvordan sker en YTStealer-infektion?
Cyberkriminelle spreder typisk trojanske heste via lokkende annoncer, phishing-websteder, e-mails med legitimt udseende og vedhæftede filer, formodede aftaler og nogle gange endda falske opgraderingsanmodninger, der foregiver at være sendt af en legitim softwareudvikler. Desværre klikker brugere i mange tilfælde på dem uden at scanne dem for skjult malware, hvilket er hvordan de fleste infektioner opstår.
I dette tilfælde promoverer YTStealer en række specifikke applikationer designet til at lokke YouTube-skabere. Disse applikationer er normalt falske versioner eller opdateringer til videoredigeringsværktøjer (gode eksempler inkluderer OBS Studio, Adobe Premiere, HitFilm Express, Sony Vega osv.).
Når et mål er blevet inficeret, vil YTStealer udføre et miljøtjek for at sikre, at det ikke kører inde i en virtuel maskine (eller en sandkasse) og bliver analyseret af sikkerhedsprogrammer. Koden, der bruges af YTStealer til at udføre dette, kommer fra Chacal open source-projektet, der hostes af GitHub. Hvis YTStealer opdager, at den er ved at blive analyseret, vil den typisk selvterminere. Hvis den føler, at der ikke er nogen trussel mod sig selv, vil YTStealer begynde at høste autentificeringscookies og legitimationsoplysninger.
YTStealer åbner også browseren i baggrunden, det vil sige uden at noget vises på computerskærmen. Hackere vil derefter være i stand til at swipe cookies ind i fantombrowseren og eksternt logge ind på din YouTube Studio-side. Herfra kan hackere enten poste, hvad de vil (dette kan være en falsk promo, et ondsindet link eller et forsøg på at sælge noget) eller høste dine data.
Når først malwaren stjæler alt, hvad den kan – kanaloplysninger, antal abonnenter, hvilke videoer der tjener penge på, og mere – de stjålne data samles, krypteres og sendes til en privat server, der er registreret hos en legitim Selskab.
Sådan slipper du af med YTStealer-virussen
Denne malware kan hurtigt tages hånd om med et pålideligt antivirus eller en værktøj til fjernelse af malware. Ethvert godt antivirusprogram kan effektivt forhindre interaktion gennem sådanne ondsindede sendere ved at give dig besked og bede dig om at tage de nødvendige skridt for at undgå eller fjerne truslen. De fleste antiviruspakker vil automatisk fjerne eventuelle infektioner og angive, hvad der er blevet opdaget.
Hvad adskiller YTSealer fra andre trojanske vira?
YTStealer opfører sig på samme måde som andre trojanske heste, bortset fra at dets eneste formål er at stjæle YouTube-legitimationsoplysninger og autentificeringscookies; lignende trojanske heste fokuserer i stedet på at høste legitimationsoplysninger til alt, hvad de kan få fat i. YTStealer gør dette for at tjene penge på dine data, abonnenter og videoer.
I alle andre aspekter opfører den sig som enhver trojaner: den inficerer din computer gennem en falsk app, kører et miljøtjek og begynder straks at stjæle målrettede data.
