0xNews - 유튜브 컨텐츠 제작자 계정을 노리는 악성코드 발견
0xNews - 유튜브 컨텐츠 제작자 계정을 노리는 악성코드 발견 Intezer 발표 https://www.intezer.com/blog/research/ytstealer-malware-youtube-cookies/ YTStealer 명명된 악성 도구 다크웹에서 서비스로 판매되는 것으로 보이며 RedLine Stealer 이나 Vidar 등이 설치되는 가짜 설치 프로그램을 사용하도록 배포 YTStealer 가 다크웹 시장에서 판매되는 다른 스틸러와 다른 점은 얻을 수 있는 모든 것을 잡는 대신 획득 가능한 단일 서비스에 대한 자격 증명을 수집하는데 더 집중한다는 것 그러나 악성코드의 작동방식은 사용자 프로필 폴더에 있는 웹 브라우저의 데이터베이스 파일에서 쿠키 정보를 추출한다는 점에서 악성코드와 유사 유튜브 YouTube 컨텐츠 제작자를 대상으로 삼는 이유는 감염된 컴퓨터에 설치된 브라우저 중 하나를 사용하여 유튜브 채널 정보를 수집하기 때문 헤드리스 모드 headless mode 에서 브라우저를 실행하고 데이터 저장소에 쿠키를 추가한 다음 Rod 라는 웹 자동화 도구를 사용하여 사용자의 유튜브 스튜디오 페이지로 이동하여 컨텐츠 제작자가 해당 채널을 설정 관리 감독 실행 이에 맬웨어는 채널 이름, 구독자 수, 생성 날짜 등을 포함한 채널에 대한 모든 정보를 도메인 이름 youbot[.]solutions 원격 서버로 전달하여 외부로 유출 YTStealer 의 또 다른 주목할 장면은 디버깅이나 메모리 분석을 방해하기 위해 오픈 소스 Chacal 안티 VM 프레임워크를 사용 Chacal 에 대한 Github 링크 https://github.com/p3tr0v/chacal 유출되는 도메인을 추가로 분석한 결과 2021년 12월 12일에 등록 whois 의 해당 도메인 검색 결과 https://whois.domaintools.com/youbot.solutions 미국 뉴멕시코주에 위치한 동일한 이름의 소프트웨어 회사와 연결된 것을 확인 하지만 Intezer 이 수집한