A YouTube-on keresztül terjesztik a kripto-rosszindulatú szoftverek új törzsét, és ráveszik a felhasználókat, hogy olyan szoftvert töltsenek le, amely 30 kriptopénztárca és kripto-böngésző-bővítmény adatainak ellopására szolgál.
A Cyble kiberintelligencia cég június 30-án blog A bejegyzés szerint a „PennyWise” néven ismert rosszindulatú programot – valószínűleg Stephen King „It” című horrorregényében szereplő szörnyről nevezték el – nyomon követte, mivel az első májusban azonosították.
„Vizsgálataink azt mutatják, hogy a lopó új fenyegetést jelent” – írta Cyble június 30-i blogbejegyzésében.
„Jelenlegi iterációjában ez a lopó több mint 30 böngészőt és kriptovaluta-alkalmazást tud megcélozni, például hideg kriptopénztárcákat, kripto-böngésző-bővítményeket stb.
Az áldozat rendszeréből ellopott adatok Chromium és Mozilla böngészőinformációk formájában érkeznek, beleértve a kriptovaluta kiterjesztési és bejelentkezési adatokat. Képernyőképeket is készíthet, és ellophatja a csevegőalkalmazások, például a Discord és a Telegram munkameneteit.
A kártevő olyan hideg kriptopénztárcákat is megcéloz, mint az Armory, a Bytecoin, a Jaxx, az Exodus, az Electrum, az Atomic Wallet, a Guarda és a Coinomi, valamint a Zcash-t és az Ethereumot támogató pénztárcákat azáltal, hogy tárcafájlokat keres a könyvtárban, és másolatot küld a Cible szerint fájlokat küldenek a támadóknak.
A kiberbiztonsági vállalat megjegyezte, hogy a rosszindulatú programot a YouTube bányászati oktatási videóin terjesztik, amelyek állítólag ingyenes Bitcoin bányászati szoftverek.
A kiberbűnözők vagy „fenyegetőzők” videókat töltenek fel, amelyekben arra utasítják a nézőket, hogy látogassák meg a leírásban található linket és töltsék le az ingyenes szoftvert, miközben arra is ösztönzik őket, hogy tiltsák le a rosszindulatú program sikeres futtatását lehetővé tevő víruskereső szoftverüket.
Cyble elmondta, hogy a támadónak június 80-ig 30 videója volt a YouTube-csatornáján, azonban az azonosított csatornát azóta eltávolították.
A Cointelegraph által végzett keresés azt találta, hogy a rosszindulatú programra mutató hasonló linkek más kisebb YouTube-csatornákon is megmaradtak, ingyenes NFT-bányászatot ígérő videókkal, fizetős szoftverek repedéseivel, ingyenes Spotify prémiummal, játékcsalásokkal és modokkal.
Sok ilyen fiók csak az elmúlt 24 órában jött létre.
Kapcsolódó: Bitcoin-lopó kártevő: keserű emlékeztető a kriptográfiai felhasználóknak, hogy maradjanak éberek
Érdekes módon a kártevőt úgy tervezték, hogy megállítsa magát, ha megtudja, hogy az áldozat Oroszországban, Ukrajnában, Fehéroroszországban és Kazahsztánban található. A Cyble azt is megállapította, hogy a kártevő az áldozat ellopott időzóna-adatait orosz szabványos időre (RST) alakítja át, amikor az adatokat visszaküldi a támadóknak.
Februárban a malware nevű A Mars Stealert azonosították Chromium-böngészőbővítményként működő titkosítási pénztárcák célzásaként, például a MetaMask, a Binance Chain Wallet vagy a Coinbase Wallet.
Chainalysis januárban figyelmeztetett hogy még az „alacsonyan képzett kiberbűnözők” is rosszindulatú programokat használnak arra, hogy pénzt szedjenek el a kriptográfiai szolgáltatóktól, és a kriptográfiai műveletek a 73 és 2017 között a rosszindulatú programokkal kapcsolatos címekre érkező teljes érték 2021%-át teszik ki.
Forrás: https://cointelegraph.com/news/pennywise-crypto-stealing-malware-spreads-through-youtube