Detailed Analysis of Cryptocurrency Phishing Through Famous YouTube Channel Hacking

Malware Analysis
1

Author: HOTSAUCE | S2W TALON

Last Modified : Mar 20, 2023

Executive Summary

  • 최근 정부 기관의 공식 유튜브 채널을 비롯한 게임 유튜버 “인피쉰”, 성우 유튜버 “남도형의 블루클럽” 등 구독자 수가 많은 유튜버들을 대상으로 피싱 메일을 발송하여 계정을 해킹하는 사례가 늘어나고 있음.
관련 기사 > (2022–09–24) 머니투데이, “머스크가 왜 나와?” 정부·방송 공식 유튜브 ‘해킹’, 무엇을 노렸나”
  • 해킹된 유튜브 채널들은 일론 머스크 라이브 스트리밍을 통해 비트코인 / 이더리움 등 암호화폐를 자신의 주소로 전송하면 두 배로 돌려준다는 피싱 페이지로 접속을 유도하고 있음.
  • 일론 머스크, 트럼프 등 유명인사를 사칭하여 암호화폐 피싱 페이지로 접속을 유도하는 케이스는 2020년 부터 존재했으며, 최근에는 유튜브 시청자가 많아지면서 더욱 많은 피해자들에게 접속을 유도하기 위해 유튜브 채널 해킹을 통한 홍보 방법을 사용하고 있음.
  • 암호화폐 피싱 사이트에서 참여자들의 입금 내역이라며 실시간으로 업데이트되는 트랜잭션들은 랜덤 문자열을 생성하여 HTML에 렌더링하는 형태로 구현되어 있으며, 실제로는 존재하지 않는 가짜 트랜잭션 및 암호화폐 주소로 확인됨.
  • 최근 발생한 인피쉰 유튜브 해킹 사건을 기준으로 피싱 사이트 분석과 암호화폐 추적을 진행함.
  • 피싱 사이트는 최소 69개 이상 운영되고 있음.
  • 피해자들이 입금한 자금은 암호화폐를 사용하여 결제하는 카지노 사이트 stake.com과, FixedFloat 거래소로 전송된 내역이 확인됨.

Detailed Analysis

1. 유튜버 계정 해킹을 통한 암호화폐 피싱 사이트 홍보

  • 최근 정부 기관의 공식 유튜브 채널과 스타크래프트 게임 유튜버 “인피쉰”, 성우 유튜버 “남도형의 블루클럽” 등 구독자 수가 많은 유튜버 계정을 탈취된 뒤 일론머스크가 출연하는 비트코인 홍보 영상을 송출하고 있음.
관련 기사 > 대한민국 정부 유튜브 계정 털렸다… 일론 머스크는 왜?
  • 유튜브 계정을 해킹 후 암호화폐 피싱 사이트 홍보에 사용한 건 2019년 부터 식별되기 시작 했으며 국내 뿐만 아니라 해외에서도 빈번히 일어나고 있음. 특히, 사망한 뒤 관리되고 있지 않던 유튜브 계정도 탈취된 사례가 존재하여 이슈가됨.
관련 기사 > Reckful: Dead YouTuber hacked by bitcoin scammers
  • 피싱 사이트를 홍보하는 근본적인 목적은 암호화폐 편취이며 일론 머스크, 도널드 트럼프 등과 같은 많은 재력을 보유한 유명인이 이벤트를 하는 것 처럼 속인 뒤 암호화폐를 입금할 경우 2배로 돌려준다는 사기 행위임.
  • 사기 과정에서 유튜브 로고, 유튜브 채널명을 변경한 뒤 실시간 라이브 영상을 틀어 유튜브 메인 화면에 노출시켜 시청을 유도하고 있으며, 도메인은 일론머스크, 트위터, 아크인베스트 등 유명인이나 기업 이름을 Typosquatting하여 사용하고 있음.
그림 1. 트위터 Typosquatting 도메인 twitterchiefp[.]com 을 사용한 암호화폐 피싱 사례
  • 이와 같은 암호화폐 편취를 목적으로 한 사기성 피싱 사이트는 과거부터 존재했으며 다크웹 상에서 최소 2020년 10월 부터 활동한 이력이 확인됨.
  • 비트코인 주소를 기준으로 교차분석한 결과 각각의 케이스에서 동일한 주소를 사용한 이력이 발견되었고, 초기 비트코인 트랜잭션 사기에서 도널드 트럼프 사칭, 일론 머스크 사칭으로 변화된 것으로 확인됨.
표 1. 비트코인 사기 사이트의 피싱 방식 변화그림 2. 암호화폐 피싱 사이트 교차 분석
  • 위 사례의 피싱 사이트에 언급 되어있는 비트코인 주소 8개의 거래 이력을 조사한 결과 457건의 트랜잭션이 확인되었으며, 약 0.75 BTC의 피해 금액이 입금됨.
  • 이러한 형태로 사기가 가능하다는 것을 확인한 사이버 범죄자들은 더욱 많은 유저들에게 접속을 유도하기 위해 유튜브 채널 해킹을 통한 홍보 방법을 사용하는 것으로 추정됨.
표 2. 비트코인 피해 금액

1.1. 정부 기관 유튜브 공식 채널 해킹

  • (2022–09–03) 우리나라의 정부에서 공식적으로 운영하는 유튜브 채널 “대한민국정부”와 공공기관 “한국관광공사” 계정이 탈취된 뒤 채널명이 SpaceX Invest로 변경 되었으며 일론머스크가 출연하여 비트코인을 홍보하는 영상이 송출됨.
그림 3. 피싱을 위한 이더리움 & 비트코인 라이브 스트리밍
  • 라이브 스트리밍에서는 테슬라와 유명 미국 투자사 아크인베스트를 사칭하여 암호화폐 피싱사이트 tsla-arkinvest[.]info 로 접속을 유도하고 있음.
그림 4. 피싱을 위한 이더리움 & 비트코인 라이브 스트리밍

1.2. 유명 유튜버 채널 해킹

Case 1 : “인피쉰” 유튜브 채널 해킹

  • (2023–02–04) “인피쉰” 유튜버의 계정이 해킹당해 채널명과 프로필 사진이 “Tesla Pull” 로 변경됨.
  • 유튜브 채널 운영자가 빠르게 인지하기 어려운 새벽 시간대에 변경되어, 다음날 아침에서야 해킹 사실을 인지하였고 계정 복구 절차를 진행함.
그림 5. 인피쉰 유튜버 계정 해킹 전(좌) / 후(우)
  • 기존 업로드되었던 모든 영상이 비공개로 바뀌고 일론 머스크의 라이브 스트리밍 영상이 업로드됨.
그림 6. “인피쉰” 유튜버 계정 해킹 후 일론 머스크 라이브 영상 스트리밍
  • 실시간 라이브 영상을 틀어 유튜브 메인 화면에 노출시켜 시청을 유도하고 있으며, 도메인은 일론머스크가 경영 중인 테슬라의 공식 도메인을 Typosquatting한 teslafuture[.]com 을 사용함.
그림 7. 암호화폐 피싱 사이트 접속 유도 (출처 : https://www[.]dogdrip.net/461667598)

Case 2 : “남도형의 블루클럽” 유튜브 채널 해킹

  • (2023–02–06) “남도형의 블루클럽” 유튜버의 계정이 해킹당해 채널명과 프로필 사진이 “Tesla US” 로 변경됨.
  • 반다이남코 게임사를 사칭한 스피어피싱 메일이 사용되었으며, 이메일을 통해 Lumma Stealer 악성코드가 설치됨.
  • (참고) S2W 위협분석센터(TALON) 위협분석팀에서 작성한 상세 분석 보고서
(2023–02–28) S2W Medium — Lumma Stealer targets YouTubers via Spear-phishing Email
그림 8. “남도형의 블루클럽” 유튜버 계정 해킹 전(좌) / 후(우)

1.3. 암호화폐 피싱 사이트 홍보

  • 해킹된 유튜브 채널들은 라이브 스트리밍을 통해 비트코인 / 이더리움 등 암호화폐를 자신의 주소로 전송하면 두 배로 돌려주겠다는 피싱 페이지로 접속을 유도하고 있음.
  • 예를 들어 0.1 비트코인을 전송하면 즉시 0.2 비트코인을 돌려 받는 구조라고하며 한정 이벤트인 것 처럼 홍보하고 있음.
그림 9. 암호화폐 피싱 사이트 — teslafuture[.]io

2. 피싱 사이트 분석

2.1. teslafuture[.]io

송금 유도 방식

  • 피싱 사이트는 실시간으로 참여자들이 입금한 금액에 따라 2배의 금액을 돌려주는 것 처럼 트랜잭션이 계속해서 업데이트되고 있음.
  • 해당 사이트를 통해 피해자가 giveaway 주소에 돈을 전송하도록 유도하고 있음.
그림 10. 암호화폐 피싱 사이트

입금 내역 조회 및 실시간 트랜잭션 현황

  • 암호화폐 피싱 사이트에서 참여자들의 입금 내역을 조회할 수 있음.
  • 실시간으로 업데이트되는 트랜잭션들은 랜덤 문자열을 생성하여 HTML에 렌더링하는 형태로 구현되어 있음.
  • 트랜잭션 확인 결과, 실제로 존재하지 않는 가짜 트랜잭션 및 암호화폐 주소로 확인됨.
  • 해당 테이블은 마치 실시간으로 업데이트 되는 것 처럼 보이나 화면에 표시되는 내용은 피싱 사이트에 포함된 자바스크립트(assets/script.js)에 의해 임의의 문자열 조합으로 랜덤하게 생성되고 있는 의미없는 문자열 조합로 확인됨.
그림 11. LIVE 테이블

3. 유튜브 계정 탈취 수법

  • 유튜브 계정 탈취를 위해 공격자들은 유튜버들을 대상으로 실제 업무 관련 메일과 매우 흡사한 형태의 피싱 메일을 발송하거나, 스틸러 악성코드를 활용하는 등의 방법을 사용하고 있음.

3.1. 인포스틸러 악성코드 활용

  • 스틸러에 감염되어 유출된 계정들 중 유튜브 채널과 구독자를 보유한 Google(YouTube) 계정만 별도로 구매 / 판매함.
그림 12. 스틸러 악성코드에 감염되어 유출된 계정들 중 유튜브 채널 보유한 계정 판매

3.2. 유튜브 채널 구매

  • 많은 사람들이 피싱 페이지로 접속하도록 유도하기 위해 구독자 수가 많은 유튜브 채널을 구매함.
그림 13. 유튜브 채널의 계정 구매

4. 암호화폐 주소 분석

  • teslafuture[.]io 피싱 사이트를 피봇팅한 결과 동일한 형태의 피싱 사이트 75곳이 확인됨.
    (상세 주소 목록은 Appendix 참조)
표 3. 암호화폐 피싱 사이트에서 사용된 도메인, IP, 암호화폐 등 정보
  • 해당 사이트들에서 공통적으로 사용된 입금 주소는 다음과 같음.피싱 주소에 입금된 피해자들의 금액은 암호화폐를 사용하여 결제하는 카지노 사이트 stake.com과, FixedFloat 거래소로 전송된 내역이 확인됨.
그림 14. 암호화폐 트랜잭션 분석
  • 암호화폐 피싱에 사용된 Bitcoin, ETH(USDT), DOGE 주소에 입금된 피해금액은 현재 시세 (2023–03–17) 기준으로 한화 약 4.9 억원에 달하는 것으로 확인됨.
표 4. 암호화폐 피싱 주소에 입금된 피해금액

Conclusion

  • 공격자들은 더욱 많은 사람들이 피싱 사이트에 접속하도록 유도하기 위해 유명 유튜버 및 정부 기관의 유튜브 채널 등을 해킹하는 방법을 사용하고 있음.
  • 코인을 무료로 나눠 준다며 입금을 요구하는 행위는 99.9% 사기 행위라고 봐도 무방하며 최근 유행하고 있는 일론 머스크 사칭 유튜브 채널, 피싱 도메인 등에 접속에 주의가 필요함.

Appendix

  • IP
199.195.250[.]129
192.236.154[.]108
188.120.237[.]203
176.9.52[.]166
154.85.45[.]88
185.40.76[.]101
186.2.171[.]6
  • Domain
teslaking.io
teslatop.io
teslabuy.io
teslatrend.io
teslahigh.io
richtesla.io
teslabest.io
teslabuild.io
teslabull.io
teslafuture.io
teslarun.io
teslarise.io
teslatrade.io
teslatime.io
teslatech.io
teslarich.io
teslacap.io
kingtesla.io
tesladrop.io
teslateam.io
teslaworld.io
teslaready.com
micro23.com
richtesla.com
micro23.io
ethdrop.io
ethgive.io
teslanext.io
teslaroad.io
teslamake.io
teslaeasy.io
teslaweek.io
teslaready.io
teslapull.io
teslago.io
chatgpt23.pro
risetesla.io
chatgpt23.io
gotesla.io
teslapull.com
tsladoge.io
muskfund.io
livetsla.io
tesladouble.io
tsla2x.io
taketsla.io
tsla23.io
tslaeth.io
fundelon.io
tslaofficial.io
teslaup.io
uptesla.io
teslado.io
tslalive.io
waytesla.io
givetsla.io
tslausdt.io
ms2023.org
tslausdt.com
bonustsla.io
givetsla.com
taketsla.com
waytesla.com
tesladouble.pro
ms2023.io
tsla23.com
infotesla.pro
tslaofficial.com
teslado.pro
  • Cryptocurrency Address
bc1qqgtkca3m5tjflf75f4eqvka4ktxglcpk6vycxf,Bitcoin
bc1qlpt8lm0hsjggytkmeka63tt4klu355ana2wp0x,Bitcoin
17p4seGQYHZQgA8dfnYaC8HkJ7xDMez78r,Bitcoin
bc1qd8qq5nu5449w2nnffeumqkzpse34rurpcee4n6,Bitcoin
1HmYF3c4PnPcg3N2RFoSp4f3ppUy26wMYW,Bitcoin
1DGrmRyajtWr3tnTEewDkx8kmTKFYzH5JG,Bitcoin
17CAWjiJ1453b3whKm6ipmv74y8xCuBjmT,Bitcoin
1K9nsAbjVExD8DUcVrqR5vCuFUUpWHsqie,Bitcoin
1KW1HhoCV2ehBUgLRiS2DUUaJEiyYQpUcu,Bitcoin
14BUo3DMAmw7z1NNrG3rLZBXdpw28oJCR3,Bitcoin
1CaRac9WkEwccmSPkEkN9DZuCE64of8U5q,Bitcoin
1QH6PxoaMo4S3RwJWJ8ZTntHkQrcHhnB8o,Bitcoin
1GBKx89aaSMLL72M3aJsQZJmuEjFfVNNvy,Bitcoin
1Hj7uwDszgkfVPE3BELSz8xLwQ4u594rxu,Bitcoin
12Tmp7psHCBz15QsKTNFX3XiNqUZoPf6xT,Bitcoin
1GLQRqvamNYonWcz68GUJsvfYjpJUCk2ao,Bitcoin
18mZZEjoTqHzzimMoorUZ6fwme6mAFDLMz,Bitcoin
1L3oYMrwk2RqQkT22xV3cN7VcRyWuJ9k3Q,Bitcoin
18u5H6DCxU5m9w7XyDyWc7Jze4A5sMxuqd,Bitcoin
13HQFx6wdErLiBDgrP9W4oa7iWqrAZLiiM,Bitcoin
1J7Hw73tWHcsmAxf5juSkgLMeDUkqr6bzf,Bitcoin
13Gmh3eZMnMqKXwD24aBfUh6z7cKeqcWh4,Bitcoin
1BrFyemKK6cw8gUewuc6FvJn19kijAMGWp,Bitcoin
1FjWQBGuc3CPv8EDtzVDT1B25d9SjLRmTC,Bitcoin
1KVcVCRnQGycXyoKCg2EsujU8wpeajSJ17,Bitcoin
1KVcVCbvCrC9VfBJ2PVan2yq83swCQuRAZ,Bitcoin
1Tes1a7pT9t81gQrxXNSgt4YKdgTyABfz,Bitcoin
1Tes1aFXwCqv9PywC2guR5zAGW8P3pWX2,Bitcoin
1LrMyjMgN2GxJyz5kRwKwfpqR3GNNhiauY,Bitcoin
bc1qjytz46xzuqp6k4vvrx8asnumjvg7fwytuym8aa,Bitcoin
34JQnaNtRWqshkUBG6KBuCsi3zLwbxmStC,Bitcoin
13TKAH9VFoWF9FyvQbYV99jcAyt9946SgM,Bitcoin
0x475391aAA58AED2596b2deFf67d10A0dbE85312D,ETH
0xc07B3B7d8efB7F0dC7324331C7b759578e9b8D8B,ETH(USDT)
0xc4B67f509FdB556a3816C2544616A15ECF5D63A2,ETH(USDT)
0x643ca0afb941e147c9c97769d3ed77ea4730235b,ETH(USDT)
0xe41914451Ad6aaE8e9780d25AED2bB21Ef420669,ETH(USDT)
0xFe2733C46B0a3a06C68b47403DF21AA3F593ca9d,ETH(USDT)
0x15b703bD7DF7d7b85c9042C48e7C110dCBD33cc8,ETH(USDT)
0x07b1d79C1f39E0aa130D5Dc2544c9DcdeB3Db355,ETH(USDT)
0x10d61fb9686843d963f7886a0d182D52766E66E9,ETH(USDT)
0x90D8AD44e01b94F8E18f578942c63d76702D851d,ETH(USDT)
0xD2CFfA827482CcA67221Fb575A7Ef972B3ddc891,ETH(USDT)
0xe76c9A08F1b51dE79C3E3477Aa86818686764041,ETH(USDT)
0x553E7D86e46E2B311E996f649F5480eCe174ea70,ETH(USDT)
0xc68c608c4Db931268C3e49294c8F39dc8041864B,ETH(USDT)
0x1A67126e13C9638C0c279699196C2c9fdb729FeF,ETH(USDT)
0xbD7F51cf1F815c88EfC4Cb277E63018D5A6890b1,ETH(USDT)
0x5A1C53116b515e7A6b88a0803a6147Cdf80FeD68,ETH(USDT)
0x7fA5762f18d2ec721773BDb9E92ed5aE0D08cBC2,ETH(USDT)
0x8bF1FAa2b2dc5514e6477ae506386aed997FC8d1,ETH(USDT)
0xA2c5a94661c0fbc7FE78F59bC088c303bDdaA4ba,ETH(USDT)
0xE5e882D15Ad8EF9ce9Ad3418E89dCa6dDf90fe38,ETH(USDT)
0x56be4FbFcD52Fa19496385A0EE547E2E29B385b7,ETH(USDT)
0x117376555B64FFd3020d68CC7570D6b17AF0503a,ETH(USDT)
0x9a931F146c848CACEda03568A3e8f25feF642FCD,ETH(USDT)
DFEEcdMiQgBFab4ou8DnESobKarDAHUNYo,Doge
DREAJU5sAMdewdjJ4rXYiuVXj4zG3KnH1b,Doge
DJRzavhwYpVsL3Q3m4MfqbrXnsGCJDxuWZ,Doge
DS92xwvATF4Unbnxzu4twac7JwwrwDoo2K,Doge
DQApZpyE2m54CbPP2UvWMSnMQiZyCH4cnE,Doge
DSYXkwu7W9tguP8DrGm5E13KB1Bw6K2doC,Doge
DH83WKfUQmtVRLWUHkfEb9PyCY3HMRZ4FA,Doge
DEgEKdzUmExaLavYphNSyxQw1WD18tXkXX,Doge
DTLQcvu24htxPeZWJYsUFi7ypnLTuGvRWU,Doge
DUTugByo1VDSFwHixNoydhb8Aou66JpvVm,Doge
DJRpo2D58ShB8P2kQx7asNVKEQv7AtxDbM,Doge
DKzw5sXSi4fscCsTszABKBeH4tJZtwBqtn,Doge
DReyFNPQ6ucV5Hboi1v5pABrTk4e7krPni,Doge
D63mdEQeTdaFF6xqetu9ky2XX38CidsCEW,Doge
DK5ctxvkE99H7nDJ6tdoXc5H2Hnu7BEsKd,Doge
DQ1QLQoAhL65TzQvBFxzdPogPB32pFriyW,Doge
DKQfUpmNfkmaDim7NBYTvWLFtQfixb9XpL,Doge
DJYT2Kgate36k3tBgp9JjQH8WSN586zxLf,Doge
DKVEB42W6yy9JomZDDFgnjvJfYPGfWfwk5,Doge
DKXNhu8F5aZ3vrG2gTa7toVm9HSzXizsZq,Doge
DBuu2gC4LSk6xEwP2KpVXWZtxkwQbj6Hnt,Doge
DAj4UupUjcFEEEFSFRtxzP3UJBNa7oP8Gp,Doge

Homepage: https://s2w.inc
Facebook: https://www.facebook.com/S2WLAB
Twitter: https://twitter.com/S2W_Official

Detailed Analysis of Cryptocurrency Phishing Through Famous YouTube Channel Hacking was originally published in S2W BLOG on Medium, where people are continuing the conversation by highlighting and responding to this story.

Article Link: Detailed Analysis of Cryptocurrency Phishing Through Famous YouTube Channel Hacking | by S2W | S2W BLOG | Medium