Manuel Statik Analiz — YTStealer (YouTube Credential Stealer) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 4905ecda46a5a03e501760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | Chron.exe ("Chronium" = Chrome variant taklidi?) |
| Boyut | 501.760 byte |
| String Sayisi | 1.988 |
C2 Domain — Liechtenstein TLD
Ent1re.Li -- .li (Liechtenstein) TLD C2 -- "1" yerine "i" kullanımı → visual deception (Ent1re = "Entire")
PDB — "Secured" Klasörü
PDB: Geliştirici dosyaları "Secured" klasöründe saklamış ama PDB yolu her şeyi ele veriyor!
C:\Users\Administrator\Desktop\Secured\d346198 - Copy.pdb -- Kullanıcı: "Administrator" (tam yetkili hesap) -- Klasör: "Secured" (çelişkili — güvenli değil!) -- "d346198 - Copy" = orijinalin kopyası
YTStealer Hakkında
YTStealer, özellikle YouTube hesabı ele geçirmeye odaklanmış ilk stealer ailelerinden biridir. 2022'de Intezer tarafından analiz edilmiştir. YouTube Creator hesaplarını çalarak kanal içeriklerini değiştirir, sub-sahtecilik/kripto dolandırıcılığı için kullanır. Browser cookie ve oturum token'larını hedefler. Sahte yazılım crack'leri ve oyun hile araçları içinde dağıtılır.
IOC
| SHA256 | 4905ecda46a5a03e501760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 | Ent1re.Li (.li Liechtenstein) |
| PDB | Administrator\\Desktop\\Secured (çelişkili!) |
YTStealer — Malware Profile
YTStealer YouTube hesap ele gecirme. Creator kanal hırsızlığı. Ent1re.Li .li C2. Intezer 2022 raporu.
Malware Type
Infostealer
Programming Language
Go
C2 Protocol
HTTPS
Target Systems
YouTube Creator/Influencer
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (2 indicators)
IOC — YTStealer
# SHA256
4905ecda46a5a03e501760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
# DOMAIN
ent1re.li
| Type | Value | Note |
|---|---|---|
| sha256 | 4905ecda46a5a03e501760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=62 |
| domain | ent1re.li |