Manuel Statik Analiz — YTStealer (YouTube Credential Stealer) | Tehdit: YUKSEK

Dosya Kimliği

SHA2564905ecda46a5a03e501760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıChron.exe ("Chronium" = Chrome variant taklidi?)
Boyut501.760 byte
String Sayisi1.988

C2 Domain — Liechtenstein TLD

Ent1re.Li  -- .li (Liechtenstein) TLD C2
-- "1" yerine "i" kullanımı → visual deception (Ent1re = "Entire")

PDB — "Secured" Klasörü

PDB: Geliştirici dosyaları "Secured" klasöründe saklamış ama PDB yolu her şeyi ele veriyor!
C:\Users\Administrator\Desktop\Secured\d346198 - Copy.pdb
-- Kullanıcı: "Administrator" (tam yetkili hesap)
-- Klasör: "Secured" (çelişkili — güvenli değil!)
-- "d346198 - Copy" = orijinalin kopyası

YTStealer Hakkında

YTStealer, özellikle YouTube hesabı ele geçirmeye odaklanmış ilk stealer ailelerinden biridir. 2022'de Intezer tarafından analiz edilmiştir. YouTube Creator hesaplarını çalarak kanal içeriklerini değiştirir, sub-sahtecilik/kripto dolandırıcılığı için kullanır. Browser cookie ve oturum token'larını hedefler. Sahte yazılım crack'leri ve oyun hile araçları içinde dağıtılır.

IOC

SHA2564905ecda46a5a03e501760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2Ent1re.Li (.li Liechtenstein)
PDBAdministrator\\Desktop\\Secured (çelişkili!)

YTStealer — Malware Profile

YTStealer YouTube hesap ele gecirme. Creator kanal hırsızlığı. Ent1re.Li .li C2. Intezer 2022 raporu.

Malware Type
Infostealer
Programming Language
Go
C2 Protocol
HTTPS
Target Systems
YouTube Creator/Influencer

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (2 indicators)

IOC — YTStealer
# SHA256 4905ecda46a5a03e501760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 # DOMAIN ent1re.li
TypeValueNote
sha256 4905ecda46a5a03e501760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=62
domain ent1re.li
Tags
ytstealeryoutube-credentialchron-exeent1re-liliechtenstein-tldadministrator-pdbsecured-folder