En ny stamme av kryptomalware spres via YouTube, og lurer brukere til å laste ned programvare som er designet for å stjele data fra 30 kryptolommebøker og kryptonettleserutvidelser.
Cyber-etterretningsselskapet Cyble i en 30. juni blog post sa at det hadde sporet skadelig programvare kjent som "PennyWise" - sannsynligvis oppkalt etter monsteret i Stephen Kings skrekkroman "It" - siden det var først identifisert i mai.
"Undersøkelsen vår indikerer at tyveren er en gryende trussel," skrev Cyble i et blogginnlegg 30. juni.
"I sin nåværende iterasjon kan denne stjeleren målrette mot over 30 nettlesere og kryptovalutaapplikasjoner som kalde kryptolommebøker, kryptonettleserutvidelser, etc."
Data stjålet fra offerets system kommer i form av Chromium- og Mozilla-nettleserinformasjon, inkludert data for utvidelse av kryptovaluta og påloggingsdata. Den kan også ta skjermbilder og stjele økter av chatteapplikasjoner som Discord og Telegram.
Skadevaren retter seg også mot kalde krypto-lommebøker som Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda og Coinomi, samt lommebøker som støtter Zcash og Ethereum ved å se etter lommebokfiler i katalogen og sende en kopi av filer til angripere, ifølge Cyble.
Nettsikkerhetsselskapet bemerket at skadelig programvare spres på YouTube-videoer for gruvedrift som påstår å være gratis Bitcoin-gruveprogramvare.
Nettkriminelle, eller "Trusselsaktører" laster opp videoer som instruerer seerne om å besøke lenken i beskrivelsen og laste ned gratisprogramvaren, samtidig som de oppfordrer dem til å deaktivere antivirusprogramvaren som gjør at skadelig programvare kan kjøres vellykket.
Cyble sa at angriperen hadde så mange som 80 videoer på YouTube-kanalen deres per 30. juni, men den identifiserte kanalen har siden blitt fjernet.
Et søk fra Cointelegraph fant lignende koblinger til skadelig programvare på andre mindre YouTube-kanaler, med videoer som lover gratis NFT-gruvedrift, cracks for betalt programvare, gratis Spotify premium, spilljuksekoder og mods.
Mange av disse kontoene har bare blitt opprettet i løpet av de siste 24 timene.
Relatert: Bitcoin som stjeler skadelig programvare: Bitter påminnelse for kryptobrukere om å være på vakt
Interessant nok er skadelig programvare designet for å stoppe seg selv hvis den finner ut at offeret er basert i Russland, Ukraina, Hviterussland og Kasakhstan. Cyble fant også at skadelig programvare konverterer offerets stjålne tidssonedata til russisk standardtid (RST) når dataene sendes tilbake til angriperne.
I februar ble skadelig programvare kalt Mars Stealer ble identifisert som målretting mot kryptolommebøker som fungerer som Chromium-nettleserutvidelser som MetaMask, Binance Chain Wallet eller Coinbase Wallet.
Chainalysis advart i januar at selv "lavt kvalifiserte nettkriminelle" nå bruker skadevare for å ta midler fra kryptohodlere, med kryptojacking som står for 73 % av den totale verdien mottatt av malware-relaterte adresser mellom 2017 og 2021.
Kilde: https://cointelegraph.com/news/pennywise-crypto-stealing-malware-spreads-through-youtube