Manuel Statik Analiz — YTStealer (YouTube Credential Stealer) | Tehdit: YUKSEK
Fichier Kimliği
| SHA256 | 4905ecda46a5a03e501760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Nom du fichier | Chron.exe ("Chronium" = Chrome variant taklidi?) |
| Taille | 501.760 byte |
| String Sayisi | 1.988 |
C2 Domain — Liechtenstein TLD
Ent1re.Li -- .li (Liechtenstein) TLD C2 -- "1" yerine "i" kullanımı → visual deception (Ent1re = "Entire")
PDB — "Secured" Klasörü
PDB: Geliştirici dosyaları "Secured" klasöründe saklamış ama PDB yolu her şeyi ele veriyor!
C:\Users\Administrator\Desktop\Secured\d346198 - Copy.pdb -- Kullanıcı: "Administrator" (tam yetkili hesap) -- Klasör: "Secured" (çelişkili — güvenli değil!) -- "d346198 - Copy" = orijinalin kopyası
YTStealer Hakkında
YTStealer, özellikle YouTube hesabı ele geçirmeye odaklanmış ilk stealer ailelerinden biridir. 2022'de Intezer tarafından analiz edilmiştir. YouTube Creator hesaplarını çalarak kanal içeriklerini değiştirir, sub-sahtecilik/kripto dolandırıcılığı için kullanır. Browser cookie ve oturum token'larını hedefler. Sahte yazılım crack'leri ve oyun hile araçları içinde dağıtılır.
IOC
| SHA256 | 4905ecda46a5a03e501760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 | Ent1re.Li (.li Liechtenstein) |
| PDB | Administrator\\Desktop\\Secured (çelişkili!) |
YTStealer — Profil du malware
YTStealer YouTube hesap ele gecirme. Creator kanal hırsızlığı. Ent1re.Li .li C2. Intezer 2022 raporu.
Type de malware
Infostealer
Langage de programmation
Go
Protocole C2
HTTPS
Systèmes ciblés
YouTube Creator/Influencer
Capacités et comportement
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
Liste IOC (2 indicateurs)
IOC — YTStealer
# SHA256
4905ecda46a5a03e501760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
# DOMAIN
ent1re.li
| Type | Valeur | Note |
|---|---|---|
| sha256 | 4905ecda46a5a03e501760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=62 |
| domain | ent1re.li |