Nova vrsta kripto-malwarea širi se YouTubeom, varajući korisnike da preuzmu softver koji je dizajniran za krađu podataka iz 30 kripto novčanika i ekstenzija kripto-preglednika.
Cyber obavještajna tvrtka Cyble 30. lipnja blog post je rekao da je pratio zlonamjerni softver poznat kao "PennyWise" — vjerojatno nazvan po čudovištu u horor romanu Stephena Kinga "To" — otkad je prvi identificiran u svibnju.
"Naša istraga pokazuje da je kradljivac prijetnja u nastajanju", napisao je Cyble u postu na blogu 30. lipnja.
"U svojoj trenutnoj iteraciji, ovaj kradljivac može ciljati preko 30 preglednika i aplikacija za kriptovalute kao što su hladni kripto novčanici, ekstenzije za kripto preglednike, itd."
Podaci ukradeni iz žrtvinog sustava dolaze u obliku podataka preglednika Chromium i Mozilla, uključujući podatke o ekstenzijama kriptovalute i podatke za prijavu. Također može napraviti snimke zaslona i ukrasti sesije chat aplikacija kao što su Discord i Telegram.
Zlonamjerni softver također cilja na hladne kripto novčanike kao što su Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda i Coinomi, kao i novčanike koji podržavaju Zcash i Ethereum tražeći datoteke novčanika u direktoriju i šaljući kopiju datoteke napadačima, navodi Cyble.
Tvrtka za kibernetičku sigurnost napomenula je da se zlonamjerni softver širi putem YouTube video zapisa o rudarenju koji se predstavljaju kao besplatni softver za rudarenje Bitcoina.
Kibernetički kriminalci ili "glumci prijetnji" postavljaju videozapise upućujući gledatelje da posjete poveznicu u opisu i preuzmu besplatni softver, istovremeno ih potičući da onemoguće svoj antivirusni softver koji omogućuje uspješno pokretanje zlonamjernog softvera.
Cyble je rekao da je napadač imao čak 80 videa na njihovom YouTube kanalu do 30. lipnja, no identificirani kanal je u međuvremenu uklonjen.
Pretraživanje koje je proveo Cointelegraph pokazalo je da slične poveznice na zlonamjerni softver ostaju na drugim manjim YouTube kanalima, s videozapisima koji obećavaju besplatno NFT rudarenje, krekove za plaćeni softver, besplatnu premiju za Spotify, varalice i modifikacije igara.
Mnogi od ovih računa stvoreni su tek u posljednja 24 sata.
Zanimljivo je da je zlonamjerni softver dizajniran da se zaustavi ako otkrije da se žrtva nalazi u Rusiji, Ukrajini, Bjelorusiji i Kazahstanu. Cyble je također otkrio da zlonamjerni softver pretvara ukradene podatke vremenske zone žrtve u rusko standardno vrijeme (RST) kada se podaci šalju natrag napadačima.
U veljači zlonamjerni softver imenovan Mars Stealer je identificiran kao ciljanje kripto novčanika koji rade kao proširenja preglednika Chromium kao što su MetaMask, Binance Chain Wallet ili Coinbase Wallet.
Chainalysis upozorio u siječnju da čak i "nisko kvalificirani kibernetički kriminalci" sada koriste zlonamjerni softver kako bi uzeli sredstva od kripto lopova, pri čemu kripto pljačkanje čini 73% ukupne vrijednosti koju su primile adrese povezane sa zlonamjernim softverom između 2017. i 2021. godine.
Izvor: https://cointelegraph.com/news/pennywise-crypto-stealing-malware-spreads-through-youtube