Через YouTube распространяется новый штамм крипто-вредоносного ПО, заставляющего пользователей загружать программное обеспечение, предназначенное для кражи данных из 30 криптокошельков и расширений криптобраузера.
Компания киберразведки Cyble 30 июня Блог Пост заявил, что отслеживал вредоносное ПО, известное как «PennyWise» — вероятно, названное в честь монстра из романа ужасов Стивена Кинга «Оно» — с тех пор, как оно было первый определили в мае.
«Наше расследование показывает, что похититель представляет собой новую угрозу», — написал Cyble в своем блоге 30 июня.
«В своей текущей версии этот похититель может атаковать более 30 браузеров и криптовалютных приложений, таких как холодные криптокошельки, расширения для криптобраузеров и т. д.».
Данные, украденные из системы жертвы, поступают в виде информации браузера Chromium и Mozilla, включая данные расширения криптовалюты и данные для входа. Он также может делать снимки экрана и воровать сеансы чат-приложений, таких как Discord и Telegram.
Вредоносное ПО также нацелено на холодные криптокошельки, такие как Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda и Coinomi, а также на кошельки, поддерживающие Zcash и Ethereum, путем поиска файлов кошелька в каталоге и отправки копии файлы злоумышленникам, согласно Cyble.
Компания по кибербезопасности отметила, что вредоносное ПО распространяется через обучающие видеоролики YouTube по майнингу, якобы являющиеся бесплатным программным обеспечением для майнинга биткойнов.
Киберпреступники, или «субъекты угроз», загружают видеоролики, инструктирующие зрителей перейти по ссылке в описании и загрузить бесплатное программное обеспечение, а также побуждая их также отключить антивирусное программное обеспечение, которое позволяет вредоносному ПО успешно работать.
Сайбл сообщил, что по состоянию на 80 июня на канале YouTube злоумышленника было 30 видеороликов, однако с тех пор идентифицированный канал был удален.
Поиск Cointelegraph обнаружил, что аналогичные ссылки на вредоносное ПО остаются на других небольших каналах YouTube с видеороликами, обещающими бесплатный майнинг NFT, взломы для платного программного обеспечения, бесплатную премиум-версию Spotify, игровые читы и моды.
Многие из этих учетных записей были созданы только в течение последних 24 часов.
Интересно, что вредоносная программа предназначена для самоостановки, если узнает, что жертва находится в России, Украине, Белоруссии и Казахстане. Cyble также обнаружил, что вредоносное ПО преобразует украденные данные часового пояса жертвы в стандартное российское время (RST), когда данные отправляются обратно злоумышленникам.
В феврале вредоносное ПО под названием Марс Похититель был идентифицирован как таргетинг на криптокошельки, которые работают как расширения браузера Chromium, такие как MetaMask, Binance Chain Wallet или Coinbase Wallet.
Chainalysis предупрежден в январе что даже «неквалифицированные киберпреступники» теперь используют вредоносное ПО для кражи средств у крипто-ходлеров, при этом на криптоджекинг приходится 73% от общей стоимости, полученной адресами, связанными с вредоносными программами, в период с 2017 по 2021 год.
Источник: https://cointelegraph.com/news/pennywise-crypto-stealing-malware-spreads-through-youtube.