YouTuben kautta levitetään uutta kryptohaittaohjelmia, jotka huijaavat käyttäjiä lataamaan ohjelmistoja, jotka on suunniteltu varastamaan tietoja 30 salauslompakosta ja krypto-selainlaajennuksesta.
Kybertiedusteluyritys Cyble 30. kesäkuuta blogi viesti kertoi, että se oli seurannut "PennyWise"-nimistä haittaohjelmaa - joka on todennäköisesti nimetty Stephen Kingin "It" -kauhuromaanin hirviön mukaan, koska se oli ensimmäinen tunnistettiin toukokuussa.
"Tutkimuksemme osoittaa, että varastaja on uusi uhka", Cyble kirjoitti blogikirjoituksessaan 30. kesäkuuta.
"Nykyisessä iteraatiossaan tämä varastaja voi kohdistaa yli 30 selaimeen ja kryptovaluuttasovellukseen, kuten kylmään kryptolompakkoon, krypto-selainlaajennukseen jne."
Uhrin järjestelmästä varastetut tiedot tulevat Chromium- ja Mozilla-selaintietojen muodossa, mukaan lukien kryptovaluuttalaajennustiedot ja kirjautumistiedot. Se voi myös ottaa kuvakaappauksia ja varastaa istuntoja chat-sovelluksista, kuten Discordista ja Telegramista.
Haittaohjelma kohdistuu myös kylmiin kryptolompakoihin, kuten Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda ja Coinomi, sekä lompakoihin, jotka tukevat Zcashia ja Ethereumia etsimällä lompakkotiedostoja hakemistosta ja lähettämällä kopion tiedostot hyökkääjille Cyblen mukaan.
Kyberturvallisuusyhtiö huomautti, että haittaohjelmaa levitetään YouTuben kaivoskoulutusvideoissa, joiden väitetään olevan ilmainen Bitcoin-kaivosohjelmisto.
Kyberrikolliset eli "Uhkatoimijat" lataavat videoita, joissa opastetaan katsojia vierailemaan kuvauksessa olevalla linkillä ja lataamaan ilmainen ohjelmisto. Samalla rohkaistaan heitä myös poistamaan käytöstä virustorjuntaohjelmistonsa, joka mahdollistaa haittaohjelman onnistuneen toiminnan.
Cyble sanoi, että hyökkääjän YouTube-kanavalla oli 80. kesäkuuta mennessä jopa 30 videota, mutta tunnistettu kanava on sittemmin poistettu.
Cointelegraphin tekemä haku löysi samankaltaisia linkkejä haittaohjelmiin muilla pienemmillä YouTube-kanavilla, ja videoissa lupaavat ilmaista NFT-louhintaa, halkeamia maksullisille ohjelmistoille, ilmaista Spotify-palkkiota, pelihuijauksia ja modifikaatioita.
Monet näistä tileistä on luotu vasta viimeisen 24 tunnin aikana.
Related: Bitcoin-varastavat haittaohjelmat: Karva muistutus kryptonkäyttäjille pysyä valppaina
Mielenkiintoista on, että haittaohjelma on suunniteltu pysähtymään, jos se saa selville, että uhri sijaitsee Venäjällä, Ukrainassa, Valko-Venäjällä ja Kazakstanissa. Cyble havaitsi myös, että haittaohjelma muuntaa uhrilta varastetut aikavyöhyketiedot Venäjän normaaliajaksi (RST), kun tiedot lähetetään takaisin hyökkääjille.
Helmikuussa haittaohjelma nimeltä Mars Stealer tunnistettiin kohdistaminen kryptolompakoihin, jotka toimivat Chromium-selainlaajennuksina, kuten MetaMask, Binance Chain Wallet tai Coinbase Wallet.
Chainalysis varoitti tammikuussa että jopa "alhaisesti koulutetut verkkorikolliset" käyttävät nyt haittaohjelmia ottamaan varoja krypton haltijoilta, ja salauksen salauksen osuus on 73 % haittaohjelmiin liittyvien osoitteiden vastaanottamasta kokonaisarvosta vuosina 2017–2021.
Lähde: https://cointelegraph.com/news/pennywise-crypto-stealing-malware-spreads-through-youtube