Manuel Statik Analiz — YTStealer (YouTube Credential Stealer) | Tehdit: YUKSEK

文件 Kimliği

SHA2564905ecda46a5a03e501760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
文件名Chron.exe ("Chronium" = Chrome variant taklidi?)
大小501.760 byte
String Sayisi1.988

C2 Domain — Liechtenstein TLD

Ent1re.Li  -- .li (Liechtenstein) TLD C2
-- "1" yerine "i" kullanımı → visual deception (Ent1re = "Entire")

PDB — "Secured" Klasörü

PDB: Geliştirici dosyaları "Secured" klasöründe saklamış ama PDB yolu her şeyi ele veriyor!
C:\Users\Administrator\Desktop\Secured\d346198 - Copy.pdb
-- Kullanıcı: "Administrator" (tam yetkili hesap)
-- Klasör: "Secured" (çelişkili — güvenli değil!)
-- "d346198 - Copy" = orijinalin kopyası

YTStealer Hakkında

YTStealer, özellikle YouTube hesabı ele geçirmeye odaklanmış ilk stealer ailelerinden biridir. 2022'de Intezer tarafından analiz edilmiştir. YouTube Creator hesaplarını çalarak kanal içeriklerini değiştirir, sub-sahtecilik/kripto dolandırıcılığı için kullanır. Browser cookie ve oturum token'larını hedefler. Sahte yazılım crack'leri ve oyun hile araçları içinde dağıtılır.

IOC

SHA2564905ecda46a5a03e501760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2Ent1re.Li (.li Liechtenstein)
PDBAdministrator\\Desktop\\Secured (çelişkili!)

YTStealer — 恶意软件档案

YTStealer YouTube hesap ele gecirme. Creator kanal hırsızlığı. Ent1re.Li .li C2. Intezer 2022 raporu.

恶意软件类型
Infostealer
编程语言
Go
C2协议
HTTPS
目标系统
YouTube Creator/Influencer

能力与行为

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC列表 (2 个指标)

IOC — YTStealer
# SHA256 4905ecda46a5a03e501760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 # DOMAIN ent1re.li
类型备注
sha256 4905ecda46a5a03e501760b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=62
domain ent1re.li
标签
ytstealeryoutube-credentialchron-exeent1re-liliechtenstein-tldadministrator-pdbsecured-folder