Manuel Statik Analiz — YTStealer (YouTube Credential Stealer) | Tehdit: YUKSEK
Datei Kimliği
| SHA256 | 4905ecda46a5a03e501760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dateiname | Chron.exe ("Chronium" = Chrome variant taklidi?) |
| Größe | 501.760 byte |
| String Sayisi | 1.988 |
C2 Domain — Liechtenstein TLD
Ent1re.Li -- .li (Liechtenstein) TLD C2 -- "1" yerine "i" kullanımı → visual deception (Ent1re = "Entire")
PDB — "Secured" Klasörü
PDB: Geliştirici dosyaları "Secured" klasöründe saklamış ama PDB yolu her şeyi ele veriyor!
C:\Users\Administrator\Desktop\Secured\d346198 - Copy.pdb -- Kullanıcı: "Administrator" (tam yetkili hesap) -- Klasör: "Secured" (çelişkili — güvenli değil!) -- "d346198 - Copy" = orijinalin kopyası
YTStealer Hakkında
YTStealer, özellikle YouTube hesabı ele geçirmeye odaklanmış ilk stealer ailelerinden biridir. 2022'de Intezer tarafından analiz edilmiştir. YouTube Creator hesaplarını çalarak kanal içeriklerini değiştirir, sub-sahtecilik/kripto dolandırıcılığı için kullanır. Browser cookie ve oturum token'larını hedefler. Sahte yazılım crack'leri ve oyun hile araçları içinde dağıtılır.
IOC
| SHA256 | 4905ecda46a5a03e501760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 | Ent1re.Li (.li Liechtenstein) |
| PDB | Administrator\\Desktop\\Secured (çelişkili!) |
YTStealer — Malware-Profil
YTStealer YouTube hesap ele gecirme. Creator kanal hırsızlığı. Ent1re.Li .li C2. Intezer 2022 raporu.
Malware-Typ
Infostealer
Programmiersprache
Go
C2-Protokoll
HTTPS
Zielsysteme
YouTube Creator/Influencer
Fähigkeiten & Verhalten
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC-Liste (2 Indikatoren)
IOC — YTStealer
# SHA256
4905ecda46a5a03e501760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
# DOMAIN
ent1re.li
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | 4905ecda46a5a03e501760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=62 |
| domain | ent1re.li |