Een nieuwe soort crypto-malware wordt verspreid via YouTube, waarbij gebruikers worden misleid om software te downloaden die is ontworpen om gegevens te stelen van 30 crypto-wallets en crypto-browserextensies.
Cyber intelligence-bedrijf Cyble in een 30 juni blog post zei dat het de malware had gevolgd die bekend staat als "PennyWise" - waarschijnlijk genoemd naar het monster in Stephen King's horrorroman "It" - sinds het was eerste in mei geïdentificeerd.
"Ons onderzoek geeft aan dat de stelen een opkomende bedreiging is", schreef Cyble op 30 juni in een blogpost.
"In zijn huidige versie kan deze stealer zich richten op meer dan 30 browsers en cryptocurrency-applicaties zoals cold crypto-wallets, crypto-browserextensies, enz."
Gegevens die uit het systeem van het slachtoffer worden gestolen, komen in de vorm van Chromium- en Mozilla-browserinformatie, inclusief cryptocurrency-extensiegegevens en inloggegevens. Het kan ook schermafbeeldingen maken en sessies van chattoepassingen zoals Discord en Telegram stelen.
De malware richt zich ook op koude crypto-wallets zoals Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda en Coinomi, evenals op portemonnees die Zcash en Ethereum ondersteunen door te zoeken naar portemonnee-bestanden in de directory en een kopie van de bestanden aan aanvallers, volgens Cyble.
Het cyberbeveiligingsbedrijf merkte op dat de malware wordt verspreid op YouTube-mining-educatievideo's die beweren gratis Bitcoin-mijnsoftware te zijn.
De cybercriminelen, of "Threat Actors" uploaden video's die kijkers instrueren om de link in de beschrijving te bezoeken en de gratis software te downloaden, terwijl ze hen ook aanmoedigen om hun antivirussoftware uit te schakelen, waardoor de malware succesvol kan worden uitgevoerd.
Cyble zei dat de aanvaller op 80 juni maar liefst 30 video's op zijn YouTube-kanaal had staan, maar het geïdentificeerde kanaal is sindsdien verwijderd.
Een zoekopdracht door Cointelegraph wees uit dat vergelijkbare links naar de malware op andere kleinere YouTube-kanalen blijven staan, met video's die gratis NFT-mining beloven, cracks voor betaalde software, gratis Spotify premium, game cheats en mods.
Veel van deze accounts zijn pas in de afgelopen 24 uur aangemaakt.
Zie ook: Bitcoin-stelende malware: bittere herinnering voor crypto-gebruikers om waakzaam te blijven
Interessant is dat de malware is ontworpen om zichzelf te stoppen als het ontdekt dat het slachtoffer zich in Rusland, Oekraïne, Wit-Rusland en Kazachstan bevindt. Cyble ontdekte ook dat de malware de gestolen tijdzonegegevens van het slachtoffer converteert naar Russian Standard Time (RST) wanneer de gegevens worden teruggestuurd naar de aanvallers.
In februari werd malware genaamd Mars Stealer werd geïdentificeerd als targeting op crypto-wallets die werken als Chromium-browserextensies zoals MetaMask, Binance Chain Wallet of Coinbase Wallet.
Chainalysis gewaarschuwd in januari dat zelfs "laaggeschoolde cybercriminelen" nu malware gebruiken om geld van crypto-hodlers te nemen, waarbij cryptojacking goed is voor 73% van de totale waarde die wordt ontvangen door malwaregerelateerde adressen tussen 2017 en 2021.
Bron: https://cointelegraph.com/news/pennywise-crypto-stealing-malware-spreads-through-youtube