Через YouTube поширюється новий тип крипто-зловмисного програмного забезпечення, яке змушує користувачів завантажувати програмне забезпечення, призначене для крадіжки даних із 30 крипто-гаманців і розширень крипто-браузера.
Компанія кіберрозвідки Cyble 30 червня блозі У публікації сказано, що вони відстежували зловмисне програмне забезпечення, відоме як «PennyWise» — ймовірно назване на честь монстра з роману жахів Стівена Кінга «Воно» — з тих пір, як воно було перший визначено в травні.
«Наше розслідування показує, що викрадач є новою загрозою», — написав Сайбл у своєму блозі 30 червня.
«У своїй поточній ітерації цей стілер може націлюватися на понад 30 браузерів і криптовалютних додатків, таких як холодні крипто-гаманці, розширення для крипто-браузерів тощо».
Дані, викрадені з системи жертви, надходять у формі інформації браузера Chromium і Mozilla, включаючи дані про розширення криптовалюти та дані для входу. Він також може робити знімки екрана та викрадати сеанси програм для чату, таких як Discord і Telegram.
Зловмисне програмне забезпечення також націлено на холодні криптогаманці, такі як Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda та Coinomi, а також гаманці, що підтримують Zcash і Ethereum, шукаючи файли гаманця в каталозі та надсилаючи копію файли зловмисникам, повідомляє Cyble.
Компанія з кібербезпеки зазначила, що зловмисне програмне забезпечення поширюється на освітніх відео YouTube з майнінгу, які нібито є безкоштовним програмним забезпеченням для майнінгу біткойнів.
Кіберзлочинці або «актори загроз» завантажують відео, вказуючи глядачам перейти за посиланням в описі та завантажити безкоштовне програмне забезпечення, а також заохочуючи їх також вимкнути антивірусне програмне забезпечення, яке забезпечує успішну роботу зловмисного програмного забезпечення.
У Cyble заявили, що станом на 80 червня зловмисник мав 30 відео на своєму каналі YouTube, однак ідентифікований канал згодом було видалено.
Пошук Cointelegraph виявив, що схожі посилання на зловмисне програмне забезпечення залишаються на інших менших каналах YouTube, з відео, які обіцяють безкоштовний NFT-майнінг, креки для платного програмного забезпечення, безкоштовний Spotify преміум, чіти та модифікації ігор.
Багато з цих облікових записів було створено лише протягом останніх 24 годин.
Цікаво, що зловмисне програмне забезпечення розроблено для того, щоб зупинити себе, якщо виявить, що жертва знаходиться в Росії, Україні, Білорусі та Казахстані. Cyble також виявив, що зловмисне програмне забезпечення перетворює вкрадені дані часового поясу жертви на російський стандартний час (RST), коли дані надсилаються назад зловмисникам.
У лютому шкідливе ПЗ ім Викрадач Марса ідентифікований як орієнтація на криптогаманці, які працюють як розширення браузера Chromium, такі як MetaMask, Binance Chain Wallet або Coinbase Wallet.
Chainalysis попереджено в січні що навіть «малокваліфіковані кіберзлочинці» зараз використовують зловмисне програмне забезпечення, щоб отримати кошти від криптохолдерів, причому на криптовикрадення припадає 73% загальної вартості, отриманої пов’язаними зі зловмисним програмним забезпеченням адресами між 2017 і 2021 роками.
Джерело: https://cointelegraph.com/news/pennywise-crypto-stealing-malware-spreads-through-youtube