Через YouTube распространяется новый штамм крипто-вредоносного ПО, заставляющего пользователей загружать программное обеспечение, предназначенное для кражи данных из 30 криптовалютных кошельков и расширений криптобраузера.
Компания киберразведки Cyble в своем блоге от 30 июня заявила, что отслеживает вредоносное ПО, известное как «PennyWise» — вероятно, названное в честь монстра из романа ужасов Стивена Кинга «Оно» — с тех пор, как оно было впервые обнаружено в мае.
«Наше расследование показывает, что похититель представляет собой новую угрозу», — написал Cyble в своем блоге 30 июня.
«В своей текущей версии этот похититель может атаковать более 30 браузеров и криптовалютных приложений, таких как холодные криптовалютные кошельки, расширения криптобраузера и т. д. ».
Данные, украденные из системы жертвы, поступают в виде информации браузера Chromium и Mozilla, включая данные расширения криптовалюты и данные для входа. Он также может делать снимки экрана и воровать сеансы чат-приложений, таких как Discord и Telegram.
Вредоносное ПО также нацелено на холодные криптокошельки, такие как Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda и Coinomi, а также на кошельки, поддерживающие Zcash и Ethereum, путем поиска файлов кошелька в каталоге и отправки копиифайлы злоумышленникам, согласно Cyble.
Компания по кибербезопасности отметила, что вредоносное ПО распространяется через обучающие видеоролики YouTube по майнингу, якобы являющиеся бесплатным программным обеспечением для майнинга Биткоин.
Киберпреступники, или «субъекты угроз», загружают видеоролики, инструктирующие зрителей перейти по ссылке в описании и загрузить бесплатное программное обеспечение, а также побуждая их также отключить антивирусное программное обеспечение, которое позволяет вредоносному ПО успешно работать.
Сайбл сообщил, что по состоянию на 30 июня на канале YouTube злоумышленника было 80 видеороликов, однако с тех пор идентифицированный канал был удален.
Поиск Cointelegraph обнаружил, что аналогичные ссылки на вредоносное ПО остаются на других небольших каналах YouTube с видеороликами, обещающими бесплатный майнинг NFT, взломы для платного программного обеспечения, бесплатную премиум-версию Spotify, игровые читы и моды.
Многие из этих учетных записей были созданы только в течение последних 24 часов.
Связанный: Вредоносное ПО для кражи Биткоин: горькое напоминание пользователям криптовалюты о необходимости сохранять бдительность
Интересно, что вредоносная программа предназначена для самоостановки, если узнает, что жертва находится в России, Украине, Белоруссии и Казахстане. Cyble также обнаружил, что вредоносное ПО преобразует украденные данные часового пояса жертвы в стандартное российское время (RST), когда данные отправляются обратно злоумышленникам.
В феврале было установлено, что вредоносное ПО Mars Stealer нацелено на криптовалютные кошельки, которые работают как расширения браузера Chromium, такие как MetaMask, Binance Chain Wallet или Coinbase Wallet.
В январе Chainalysis предупредила, что даже «неквалифицированные киберпреступники» теперь используют вредоносное ПО для кражи средств у держателей криптовалюты, при этом на долю криптоджекинга приходится 73% от общей суммы, полученной адресами, связанными с вредоносным ПО, в период с 2017 по 2021 год.