Вредоносное ПО для кражи криптовалюты PennyWise распространяется через YouTube
Новый вид криптовалютного вредоносного ПО распространяется через YouTube, обманом заставляя пользователей загрузить программное обеспечение, предназначенное для кражи данных из 30 криптовалютных кошельков и расширений криптобраузеров.
Компания Cyble, занимающаяся киберразведкой, в своем блоге от 30 июня сообщила, что отслеживает вредоносное ПО, известное под названием «PennyWise» — вероятно, названное в честь монстра из романа ужасов Стивена Кинга «Оно» — с момента его обнаружения в мае.
«Наше расследование показывает, что кража является новой угрозой», — написала компания Cyble в блоге 30 июня.
«В своей нынешней итерации этот крадун может быть нацелен на более чем 30 браузеров и криптовалютные приложения, такие как холодные криптокошельки, расширения криптобраузеров и т.д.».
Данные, похищенные из системы жертвы, поступают в виде информации о браузерах Chromium и Mozilla, включая данные криптовалютных расширений и данные для входа в систему. Она также может делать скриншоты и красть сессии чат-приложений, таких как Discord и Telegram.
Вредоносная программа также нацелена на холодные криптокошельки, такие как Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda и Coinomi, а также кошельки, поддерживающие Zcash и Ethereum, путем поиска файлов кошельков в каталоге и отправки копии файлов злоумышленникам, сообщает Cyble.
Компания по кибербезопасности отметила, что вредоносное ПО распространяется в обучающих видеороликах по майнингу на YouTube, выдавая их за бесплатное программное обеспечение для добычи биткоина.
Киберпреступники, или «исполнители угроз», загружают видео, в котором инструктируют зрителей перейти по ссылке в описании и загрузить бесплатное программное обеспечение, а также призывают их отключить антивирусное программное обеспечение, что позволяет вредоносной программе успешно работать.
По данным Cyble, по состоянию на 30 июня на канале злоумышленника на YouTube было размещено до 80 видеороликов, однако с тех пор указанный канал был удален.
Поиск, проведенный Cointelegraph, обнаружил, что аналогичные ссылки на вредоносное ПО остаются и на других небольших каналах YouTube, с видео, обещающими бесплатный майнинг NFT, крэки для платного программного обеспечения, бесплатный Spotify premium, игровые читы и моды.
Многие из этих аккаунтов были созданы только в течение последних 24 часов.
Интересно, что вредоносная программа призвана остановить себя, если обнаружит, что жертва находится в России, Украине, Беларуси и Казахстане. Cyble также обнаружила, что вредоносная программа конвертирует данные о часовых поясах жертвы в российское стандартное время (RST), когда данные отправляются обратно злоумышленникам.
В феврале было обнаружено вредоносное ПО под названием Mars Stealer, нацеленное на криптокошельки, работающие как расширения для браузера Chromium, такие как MetaMask, Binance Chain Wallet или Coinbase Wallet.
В январе Chainalysis предупредил, что даже «низкоквалифицированные киберпреступники» теперь используют вредоносное ПО для отъема средств у криптомошенников, причем на криптоджекинг приходится 73% от общей стоимости, полученной адресами, связанными с вредоносным ПО, в период с 2017 по 2021 год.