220420_유명조달기업
유튜브 채널 해킹하는 YTStealer 정보 도용 멀웨어 발견 
상태바
유튜브 채널 해킹하는 YTStealer 정보 도용 멀웨어 발견 
  • 곽중희 기자
  • 승인 2022.07.01 10:57
  • 댓글 1
이 기사를 공유합니다

다크웹에서 배포, 유튜브 스튜디오 계정 해킹해 정보 탈취

 

유튜브 채널을 해킹하는 YTStealer라는 새로운 정보 도용 멀웨어가 발견돼 주의가 필요한 상황이다.

Intezer 사이버 보안 연구원에 따르면, YTStealer는 유튜브 크리에이터의 인증 쿠키를 훔치기 위해 개발된 새로운 정보 도용 멀웨어로 다크웹에서 도구로 배포되고 있다.

YTStealer 멀웨어는 샌드박스에서 실행되지 않도록 몇 가지 환경 검사를 수행한다. 또한 Chacal 이라는 GitHub에서 호스팅되는 오픈 소스 프로젝트에서 가져온 검사를 수행하는 코드를 이용한다.

연구원들은 “YTStealer는 유튜브에 대한 인증 쿠키를 찾은 후 쿠키의 유효성을 검사한다. 이후 유튜브 계정에 대한 추가 정보를 얻기 위해 감염된 컴퓨터에 설치된 웹 브라우저 중 하나를 헤드리스 모드로 전환한다”라고 설명했다.

이어 “헤드리스 모드로 웹 브라우저를 시작하면 악성코드는 사용자가 눈치채지 못하게 브라우저를 작동시킨다. 브라우저 제어를 위해 악성코드는 Rod라는 라이브러리를 사용하는데, Rod는 DevTools 프로토콜을 통해 브라우저를 제어할 수 있는 고급 인터페이스와 웹 자동화 및 스크래핑을 제공한다”라고 덧붙였다.

YTStealer는 웹 브라우저를 통해 유튜버가 사용하는 유튜브 스튜디오로 이동한다. 유튜브 스튜디오에 대한 접근 권한을 얻은 후에는 채널 이름, 구독자 수, 생성 날짜, 확인 상태 및 수익 창출 여부를 포함해 채널에 대한 정보를 가져온다. 악성코드는 샘플마다 고유한 키로 모든 데이터를 암호화하고 샘플 식별자와 함께 도메인 youbot[.]solutions에 위치한 C2 서버로 전송한다.

보안 연구원들은 "해커들이 유튜브 계정을 해킹해 어떻게 수익을 창출하는지는 분석하지 않았다. 한 가지 가설은 채널의 구독자수를 속이는 것이다. 사용된 대부분의 해킹 프로그램은 합법적인 소프트웨어의 크랙 버전이었다. 또한 가짜 설치 파일과 게임용 프로그램도 있었다. 해킹을 막기 위해서는 신뢰할 수 있는 소프트웨어만 사용해야 한다”라고 권고했다.

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 1
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
궁금이 2022-07-27 02:08:34
그러면 해결방법은 없나요???