Ένα νέο είδος κρυπτο-κακόβουλου λογισμικού διαδίδεται μέσω του YouTube, ξεγελώντας τους χρήστες να κατεβάσουν λογισμικό που έχει σχεδιαστεί για να κλέβει δεδομένα από 30 κρυπτογραφικά πορτοφόλια και επεκτάσεις κρυπτογραφικών προγραμμάτων περιήγησης.
Η Cyber Intelligence εταιρεία Cyble στις 30 Ιουνίου blog Η ανάρτηση ανέφερε ότι παρακολουθούσε το κακόβουλο λογισμικό γνωστό ως "PennyWise" - πιθανότατα πήρε το όνομά του από το τέρας στο μυθιστόρημα τρόμου "It" του Stephen King - από τότε που ήταν πρώτα εντοπίστηκαν τον Μάιο.
«Η έρευνά μας δείχνει ότι ο κλέφτης είναι μια αναδυόμενη απειλή», έγραψε η Cyble σε μια ανάρτηση στο blog στις 30 Ιουνίου.
«Στην τρέχουσα επανάληψη του, αυτός ο κλέφτης μπορεί να στοχεύσει πάνω από 30 προγράμματα περιήγησης και εφαρμογές κρυπτονομισμάτων, όπως κρύα πορτοφόλια κρυπτογράφησης, επεκτάσεις crypto-browser κ.λπ.».
Τα δεδομένα που έχουν κλαπεί από το σύστημα του θύματος έρχονται με τη μορφή πληροφοριών του προγράμματος περιήγησης Chromium και Mozilla, συμπεριλαμβανομένων δεδομένων επέκτασης κρυπτονομισμάτων και δεδομένων σύνδεσης. Μπορεί επίσης να τραβήξει στιγμιότυπα οθόνης και να κλέψει περιόδους σύνδεσης εφαρμογών συνομιλίας όπως το Discord και το Telegram.
Το κακόβουλο λογισμικό στοχεύει επίσης κρύα κρυπτοπορτοφόλια όπως Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda και Coinomi, καθώς και πορτοφόλια που υποστηρίζουν το Zcash και το Ethereum αναζητώντας αρχεία πορτοφολιού στον κατάλογο και στέλνοντας ένα αντίγραφο του αρχεία σε επιτιθέμενους, σύμφωνα με τη Cyble.
Η εταιρεία κυβερνοασφάλειας σημείωσε ότι το κακόβουλο λογισμικό διαδίδεται σε εκπαιδευτικά βίντεο εξόρυξης στο YouTube που υποτίθεται ότι είναι δωρεάν λογισμικό εξόρυξης Bitcoin.
Οι εγκληματίες του κυβερνοχώρου ή οι «Ηθοποιοί απειλών» ανεβάζουν βίντεο δίνοντας οδηγίες στους θεατές να επισκεφτούν τον σύνδεσμο στην περιγραφή και να κατεβάσουν το δωρεάν λογισμικό, ενώ παράλληλα τους ενθαρρύνουν να απενεργοποιήσουν το λογισμικό προστασίας από ιούς που επιτρέπει στο κακόβουλο λογισμικό να εκτελείται με επιτυχία.
Η Cyble είπε ότι ο δράστης είχε έως και 80 βίντεο στο κανάλι τους στο YouTube έως τις 30 Ιουνίου, ωστόσο, το κανάλι που εντοπίστηκε έχει αφαιρεθεί από τότε.
Μια αναζήτηση από την Cointelegraph διαπίστωσε ότι παρόμοιοι σύνδεσμοι με το κακόβουλο λογισμικό παραμένουν σε άλλα μικρότερα κανάλια YouTube, με βίντεο που υπόσχονται δωρεάν εξόρυξη NFT, σπασίματα για λογισμικό επί πληρωμή, δωρεάν Spotify premium, απατεώνες παιχνιδιών και mods.
Πολλοί από αυτούς τους λογαριασμούς έχουν δημιουργηθεί μόνο τις τελευταίες 24 ώρες.
Είναι ενδιαφέρον ότι το κακόβουλο λογισμικό έχει σχεδιαστεί για να σταματήσει τον εαυτό του εάν ανακαλύψει ότι το θύμα έχει έδρα στη Ρωσία, την Ουκρανία, τη Λευκορωσία και το Καζακστάν. Η Cyble διαπίστωσε επίσης ότι το κακόβουλο λογισμικό μετατρέπει τα κλεμμένα δεδομένα ζώνης ώρας του θύματος σε Ρωσική Τυπική ώρα (RST) όταν τα δεδομένα αποστέλλονται πίσω στους εισβολείς.
Τον Φεβρουάριο, ονομάστηκε κακόβουλο λογισμικό Ο Άρης Κλέφτης αναγνωρίστηκε ως στόχευση πορτοφολιών κρυπτογράφησης που λειτουργούν ως επεκτάσεις προγράμματος περιήγησης Chromium, όπως το MetaMask, το Binance Chain Wallet ή το Πορτοφόλι Coinbase.
Αλυσίδα προειδοποιήθηκε τον Ιανουάριο ότι ακόμη και «κυβερνοεγκληματίες χαμηλής ειδίκευσης» χρησιμοποιούν τώρα κακόβουλο λογισμικό για να πάρουν χρήματα από κατόχους κρυπτογράφησης, με το cryptojacking να αντιπροσωπεύει το 73% της συνολικής αξίας που λαμβάνεται από διευθύνσεις που σχετίζονται με κακόβουλο λογισμικό μεταξύ 2017 και 2021.
Πηγή: https://cointelegraph.com/news/pennywise-crypto-stealing-malware-spreads-through-youtube