En ny stamme af krypto-malware bliver spredt via YouTube, og narre brugere til at downloade software, der er designet til at stjæle data fra 30 krypto-punge og krypto-browser-udvidelser.
Cyber-efterretningsfirmaet Cyble i en 30. juni blog post sagde, at det havde sporet malware kendt som "PennyWise" - sandsynligvis opkaldt efter monsteret i Stephen Kings gyserroman "It" - siden det var første identificeret i maj.
"Vores undersøgelse indikerer, at stjæleren er en ny trussel," skrev Cyble i et blogindlæg den 30. juni.
"I sin nuværende iteration kan denne stjæler målrette mod over 30 browsere og cryptocurrency-applikationer såsom kolde crypto-punge, crypto-browser-udvidelser osv."
Data stjålet fra ofrets system kommer i form af Chromium- og Mozilla-browseroplysninger, herunder udvidelsesdata for kryptovaluta og logindata. Det kan også tage skærmbilleder og stjæle sessioner af chatapplikationer som Discord og Telegram.
Malwaren er også rettet mod kolde krypto-wallets såsom Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda og Coinomi, samt tegnebøger, der understøtter Zcash og Ethereum ved at lede efter wallet-filer i mappen og sende en kopi af filerne til angribere, ifølge Cyble.
Cybersikkerhedsfirmaet bemærkede, at malwaren spredes på YouTube-mineuddannelsesvideoer, der foregiver at være gratis Bitcoin-minesoftware.
De cyberkriminelle eller "Trusselsaktører" uploader videoer, der instruerer seerne om at besøge linket i beskrivelsen og downloade den gratis software, mens de også opfordrer dem til også at deaktivere deres antivirussoftware, som gør det muligt for malware at køre med succes.
Cyble sagde, at angriberen havde så mange som 80 videoer på deres YouTube-kanal pr. 30. juni, men den identificerede kanal er siden blevet fjernet.
En søgning foretaget af Cointelegraph fandt lignende links til malwaren forbliver på andre mindre YouTube-kanaler, med videoer, der lover gratis NFT-mining, cracks til betalt software, gratis Spotify premium, spilcheats og mods.
Mange af disse konti er kun blevet oprettet inden for de sidste 24 timer.
Relateret: Bitcoin stjæler malware: Bitter påmindelse til kryptobrugere om at forblive på vagt
Interessant nok er malwaren designet til at stoppe sig selv, hvis den finder ud af, at offeret er baseret i Rusland, Ukraine, Hviderusland og Kasakhstan. Cyble fandt også ud af, at malwaren konverterer ofrets stjålne tidszonedata til Russian Standard Time (RST), når dataene sendes tilbage til angriberne.
I februar navngav malware Mars Stealer blev identificeret som målretning af krypto-punge, der fungerer som Chromium-browserudvidelser såsom MetaMask, Binance Chain Wallet eller Coinbase Wallet.
Chainalysis advaret i januar at selv "lavt kvalificerede cyberkriminelle" nu bruger malware til at tage midler fra krypto-hodlere, hvor kryptojacking tegner sig for 73 % af den samlede værdi modtaget af malware-relaterede adresser mellem 2017 og 2021.
Kilde: https://cointelegraph.com/news/pennywise-crypto-stealing-malware-spreads-through-youtube