Вредоносное ПО PennyWise распространяется через YouTube
Новый вид крипто-вредоносного ПО распространяется через YouTube, обманывая пользователей, чтобы загрузить программное обеспечение, предназначенное для кражи данных из 30 криптокошельков и криптобраузерных расширений.
Компания киберразведки Cyble в блоге от 30 июня заявила, что отслеживает вредоносное ПО, известное как PennyWise - вероятно, названное в честь монстра в романе ужасов Стивена Кинга "It" - с тех пор, как оно было впервые идентифицировано в мае.
"Наше расследование показывает, что кража - это новая угроза", - написал Cyble в блоге 30 июня:
"В своей текущей итерации это ПО может быть нацелено на более чем на 30 браузеров и криптовалютных приложений, таких как холодные криптокошельки, расширения криптобраузера и т. д.".
Данные, украденные из системы жертвы, поступают в виде информации о браузерах Chromium и Mozilla, включая данные расширения криптовалюты и данные для входа в систему. Он также может делать скриншоты и украсть сеансы чат-приложений, таких как Discord и Telegram. По словам Cyble, вредоносное ПО также нацелено на холодные криптокошельки, такие как Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda и Coinomi, а также на кошельки, поддерживающие Zcash (ZEC) и Ether (ETH), ища файлы кошельков в каталоге.
Компания по кибербезопасности отметила, что вредоносное ПО распространяется на обучающих видеороликах YouTube, якобы являющихся бесплатным программным обеспечением для майнинга биткойнов. Киберпреступники загружают видео, инструктирующие зрителей перейти по ссылке в описании и загрузить бесплатное программное обеспечение, а также поощряют их отключить антивирусное программное обеспечение, которое позволяет успешно работать с вредоносным ПО.
Несмотря на удаление канала, ссылки на вредоносное ПО остаются на других небольших каналах YouTube, с видео, обещающими бесплатный майнинг токенов NFT, подписки для платного программного обеспечения, бесплатную премиум Spotify, игровые читы и прочее. Многие из этих учетных записей были созданы только за последние 24 часа.
В феврале вредоносное ПО под названием Mars Stealer было идентифицировано как нацеленное на криптокошельки, которые работают как расширения браузера Chromium, такие как MetaMask, Binance Chain Wallet или Coinbase Wallet. Chainalysis предупредил в январе, что даже «низкоквалифицированные киберпреступники» теперь используют вредоносное ПО для получения средств у криптоходлеров, при этом криптоджекинг составляет 73% от общей стоимости, полученной от вредоносных адресов в период с 2017 по 2021 год.