Нов вид крипто злонамерен софтуер се разпространява чрез YouTube, подмамвайки потребителите да изтеглят софтуер, който е предназначен да краде данни от 30 крипто портфейла и разширения за крипто браузър.
Компанията за киберразузнаване Cyble на 30 юни блог публикацията каза, че е проследявала зловреден софтуер, известен като „PennyWise“ – вероятно кръстен на чудовището в романа на ужасите „То“ на Стивън Кинг – откакто беше първи идентифицирани през май.
„Нашето разследване показва, че крадецът е нововъзникваща заплаха“, пише Cyble в публикация в блог на 30 юни.
„В сегашната си итерация този крадец може да се насочи към над 30 браузъра и приложения за криптовалута, като например студени крипто портфейли, разширения за крипто браузър и т.н.“
Данните, откраднати от системата на жертвата, идват под формата на информация за браузъра Chromium и Mozilla, включително данни за разширение на криптовалута и данни за влизане. Може също да прави екранни снимки и да краде сесии на приложения за чат като Discord и Telegram.
Зловреден софтуер също така е насочен към студени крипто-портфейли като Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda и Coinomi, както и портфейли, поддържащи Zcash и Ethereum, като търси файлове на портфейла в директорията и изпраща копие на файлове на нападатели, според Cyble.
Компанията за киберсигурност отбеляза, че злонамереният софтуер се разпространява в образователни видеоклипове за копаене в YouTube, които се представят за безплатен софтуер за копаене на биткойни.
Киберпрестъпниците или „заплахите“ качват видеоклипове, инструктиращи зрителите да посетят връзката в описанието и да изтеглят безплатния софтуер, като същевременно ги насърчават да деактивират своя антивирусен софтуер, който позволява на зловредния софтуер да работи успешно.
Cyble каза, че нападателят е имал около 80 видеоклипа в канала им в YouTube към 30 юни, но идентифицираният канал оттогава е премахнат.
Търсене от Cointelegraph установи, че подобни връзки към злонамерения софтуер остават в други по-малки канали в YouTube, с видеоклипове, обещаващи безплатно копаене на NFT, кракове за платен софтуер, безплатен премиум Spotify, мами и модификации на игри.
Много от тези акаунти са създадени едва през последните 24 часа.
Интересното е, че злонамереният софтуер е проектиран да се спира сам, ако разбере, че жертвата е базирана в Русия, Украйна, Беларус и Казахстан. Cyble също установи, че злонамереният софтуер преобразува откраднатите данни за часовата зона на жертвата в руско стандартно време (RST), когато данните се изпращат обратно на нападателите.
През февруари зловреден софтуер наз Крадецът на Марс беше идентифициран като насочване към крипто портфейли, които работят като разширения на браузър Chromium, като MetaMask, Binance Chain Wallet или Coinbase Wallet.
Chainalysis предупреди през януари че дори „нискоквалифицирани киберпрестъпници“ вече използват злонамерен софтуер, за да вземат средства от крипто ходлери, като криптоджакингът представлява 73% от общата стойност, получена от адреси, свързани със злонамерен софтуер между 2017 г. и 2021 г.
Източник: https://cointelegraph.com/news/pennywise-crypto-stealing-malware-spreads-through-youtube