Вредоносное ПО для кражи криптовалюты PennyWise распространяется через YouTube

Новый вид криптовалюты распространяется через YouTube, обманывая пользователей, чтобы загрузить программное обеспечение, предназначенное для кражи данных из 30 криптовалютных кошельков и расширений криптобраузеров.

Компания Cyble, занимающаяся киберразведкой, в своем блоге от 30 июня сообщила, что отслеживала вредоносное ПО, известное под названием "PennyWise" - вероятно, названное в честь монстра из романа ужасов Стивена Кингса "Оно" - с момента его первого обнаружения в мае.

"Наше расследование показывает, что кража является новой угрозой", - написала компания Cyble в блоге 30 июня.

"В своей нынешней итерации этот угонщик может нацеливаться на более чем 30 браузеров и криптовалютные приложения, такие как холодные криптокошельки, криптобраузерные расширения и т.д.".

Данные, похищенные из систем жертв, поступают в виде информации о браузерах Chromium и Mozilla, включая данные криптовалютных расширений и данные для входа в систему. Он также может делать скриншоты и красть сессии чат-приложений, таких как Discord и Telegram.

Вредоносная программа также нацелена на холодные криптокошельки, такие как Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda и Coinomi, а также кошельки, поддерживающие Zcash и Ethereum, ища файлы кошельков в каталоге и отправляя копию файлов злоумышленникам, сообщает Cyble.

Компания по кибербезопасности отметила, что вредоносная программа распространяется через обучающие видеоролики по майнингу на YouTube, выдавая их за бесплатное программное обеспечение для добычи биткоинов.

Киберпреступники, или "исполнители угроз", загружают видеоролики, в которых инструктируют зрителей перейти по ссылке в описании и загрузить бесплатное программное обеспечение, а также призывают их отключить антивирусное программное обеспечение, что позволяет вредоносной программе успешно работать.

По словам Сайбла, по состоянию на 30 июня на канале злоумышленника на YouTube было размещено до 80 видеороликов, однако с тех пор указанный канал был удален.

Поиск Cointelegraph обнаружил, что подобные ссылки на вредоносное ПО остаются и на других небольших каналах YouTube, с видео, обещающими бесплатный NFT-майнинг, кряки для платного программного обеспечения, бесплатный Spotify premium, игровые читы и моды.

Многие из этих аккаунтов были созданы только в течение последних 24 часов.

Интересно, что вредоносная программа призвана остановить себя, если обнаружит, что жертва находится в России, Украине, Беларуси и Казахстане. Cyble также обнаружила, что вредоносная программа конвертирует украденные данные о часовых поясах жертвы в российское стандартное время (RST), когда данные отправляются обратно злоумышленникам.

В феврале было выявлено вредоносное ПО под названием Mars Stealer, нацеленное на криптокошельки, работающие как расширения для браузера Chromium, такие как MetaMask, Binance Chain Wallet или Coinbase Wallet.

Chainalysis предупредил в январе, что даже "низкоквалифицированные киберпреступники" теперь используют вредоносное ПО для отъема средств у криптомошенников, причем на криптоджекинг приходится 73% от общей стоимости, полученной адресами, связанными с вредоносным ПО, в период с 2017 по 2021 год.