💬 Вредоносное ПО для кражи криптовалют PennyWise распространяется через YouTube от 2022-07-06

Вредоносное ПО для кражи криптовалют PennyWise распространяется через YouTube

Через YouTube распространяется новый вид крипто-вредоносного ПО, обманом заставляющего пользователей загружать программное обеспечение, предназначенное для кражи данных из 30 криптокошельков и расширений криптобраузера.

Компания киберразведки Cyble в своем блоге от 30 июня сообщила, что отслеживает вредоносное ПО, известное как PennyWise (вероятно, названное в честь монстра из романа ужасов Стивена Кинга "Оно"), с тех пор, как оно было впервые обнаружено в мае.

"Наше расследование показывает, что похититель представляет собой новую угрозу", — написала Сайбл в своем блоге 30 июня.

«В своей текущей версии этот похититель может атаковать более 30 браузеров и криптовалютных приложений, таких как холодные криптокошельки, расширения для криптобраузеров и т. д.».

Данные, украденные из системы жертвы, поступают в виде информации браузера Chromium и Mozilla, включая данные расширения криптовалюты и данные для входа. Он также может делать снимки экрана и воровать сеансы чат-приложений, таких как Discord и Telegram.

Вредоносное ПО также нацелено на холодные криптокошельки, такие как Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda и Coinomi, а также на кошельки, поддерживающие Zcash и Ethereum, путем поиска файлов кошелька в каталоге и отправки по словам Cyble, копирование файлов злоумышленникам.

Компания, занимающаяся кибербезопасностью, отметила, что вредоносное ПО распространяется через обучающие видеоролики YouTube по майнингу, якобы являющиеся бесплатным программным обеспечением для майнинга биткойнов.

Киберпреступники, или «субъекты угроз», загружают видеоролики, в которых зрителям предлагается перейти по ссылке в описании и загрузить бесплатное программное обеспечение, а также призывают их также отключить антивирусное программное обеспечение, которое обеспечивает успешную работу вредоносного ПО.

Cyble сообщила, что по состоянию на 30 июня на канале YouTube злоумышленника было 80 видео, однако с тех пор указанный канал был удален.

Поиск, проведенный Cointelegraph, показал, что аналогичные ссылки на вредоносное ПО остаются на других небольших каналах YouTube, с видеороликами, обещающими бесплатный майнинг NFT, взломщики для платного программного обеспечения, бесплатную премиум-версию Spotify, игровые читы и моды.

Многие из этих аккаунтов были созданы только в течение последних 24 часов.

Интересно, что вредоносная программа предназначена для самоостановки, если узнает, что жертва находится в России, Украине, Беларуси и Казахстане. Cyble также обнаружил, что вредоносное ПО преобразует украденные данные часового пояса жертвы в стандартное российское время (RST), когда данные отправляются обратно злоумышленникам.

В феврале было установлено, что вредоносное ПО Mars Stealer нацелено на криптовалютные кошельки, которые работают как расширения браузера Chromium, такие как MetaMask, Binance Chain Wallet или Coinbase Wallet.

В январе Chainalysis предупредила, что даже «неквалифицированные киберпреступники» теперь используют вредоносное ПО для кражи средств у держателей криптовалюты, при этом на долю криптоджекинга приходится 73% от общей суммы, полученной адресами, связанными с вредоносными программами, в период с 2017 по 2021 год.