Za pośrednictwem YouTube rozprzestrzenia się nowa odmiana kryptomalware, która nakłania użytkowników do pobrania oprogramowania zaprojektowanego do kradzieży danych z 30 portfeli kryptograficznych i rozszerzeń przeglądarek kryptograficznych.
Firma wywiadowcza Cyble w raporcie z 30 czerwca blog Post stwierdził, że śledzi złośliwe oprogramowanie znane jako „PennyWise” – prawdopodobnie nazwane na cześć potwora z horroru Stephena Kinga „To” – od czasu jego drugim zidentyfikowany w maju.
„Nasze dochodzenie wskazuje, że złodziej stanowi wyłaniające się zagrożenie” – napisał Cyble w poście na blogu z 30 czerwca.
„W swojej obecnej wersji ten złodziej może atakować ponad 30 przeglądarek i aplikacji kryptowalutowych, takich jak zimne portfele kryptowalutowe, rozszerzenia kryptowalut itp.”
Dane skradzione z systemu ofiary mają postać informacji o przeglądarkach Chromium i Mozilla, w tym danych rozszerzeń kryptowalut i danych logowania. Może także robić zrzuty ekranu i kraść sesje aplikacji czatowych, takich jak Discord i Telegram.
Szkodnik atakuje także zimne kryptowaluty, takie jak Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda i Coinomi, a także portfele obsługujące Zcash i Ethereum, wyszukując pliki portfeli w katalogu i wysyłając kopię Według Cyble pliki atakującym.
Firma zajmująca się cyberbezpieczeństwem zauważyła, że złośliwe oprogramowanie rozprzestrzenia się w YouTube na filmach edukacyjnych dotyczących górnictwa, które rzekomo są darmowym oprogramowaniem do wydobywania Bitcoinów.
Cyberprzestępcy, czyli „podmioty zagrażające”, przesyłają filmy instruujące widzów, aby odwiedzili link w opisie i pobrali bezpłatne oprogramowanie, jednocześnie zachęcając ich również do wyłączenia oprogramowania antywirusowego, które umożliwia pomyślne działanie szkodliwego oprogramowania.
Cyble powiedział, że na dzień 80 czerwca napastnik miał na swoim kanale YouTube aż 30 filmów, jednak zidentyfikowany kanał został już usunięty.
Wyszukiwanie przeprowadzone przez Cointelegraph wykazało, że podobne linki do szkodliwego oprogramowania znajdują się na innych mniejszych kanałach YouTube, gdzie znajdują się filmy obiecujące bezpłatne wydobywanie NFT, cracki do płatnego oprogramowania, bezpłatne Spotify premium, kody do gier i mody.
Wiele z tych kont zostało utworzonych dopiero w ciągu ostatnich 24 godzin.
Związane z: Malware kradnące bitcoiny: gorzkie przypomnienie dla użytkowników kryptowalut, aby zachowali czujność
Co ciekawe, szkodliwe oprogramowanie ma za zadanie zatrzymać się, jeśli odkryje, że ofiara znajduje się w Rosji, Ukrainie, Białorusi i Kazachstanie. Cyble odkrył również, że złośliwe oprogramowanie konwertuje skradzione dane dotyczące strefy czasowej ofiary na rosyjski czas standardowy (RST), gdy dane są wysyłane z powrotem do atakujących.
W lutym złośliwe oprogramowanie o nazwie Zidentyfikowano Złodzieja Marsa jako celowanie w portfele kryptograficzne, które działają jako rozszerzenia przeglądarki Chromium, takie jak MetaMask, Binance Chain Wallet lub Coinbase Wallet.
Chainalysis ostrzegany w styczniu że nawet „nisko wykwalifikowani cyberprzestępcy” wykorzystują obecnie złośliwe oprogramowanie do kradzieży środków od osób hodujących kryptowaluty, przy czym cryptojacking stanowił 73% całkowitej wartości otrzymanej na adresy powiązane ze złośliwym oprogramowaniem w latach 2017–2021.
Źródło: https://cointelegraph.com/news/pennywise-crypto-stealing-malware-spreads-through-youtube