Новая разнавіднасць крыпта-шкоднасных праграм распаўсюджваецца праз YouTube, падманам прымушаючы карыстальнікаў спампоўваць праграмнае забеспячэнне, прызначанае для крадзяжу даных з 30 крыпта-кашалькоў і пашырэнняў для крыпта-браўзераў.
Кампанія кібервыведкі Cyble 30 чэрвеня блог Post сказаў, што адсочваў шкоднаснае ПЗ, вядомае як «PennyWise» - верагодна, названае ў гонар монстра з рамана жахаў Стывена Кінга «Яно» - з таго часу, як яно было 1. выяўлены ў маі.
«Наша расследаванне паказвае, што выкрадальнік з'яўляецца новай пагрозай», — напісаў Сайбл у сваім блогу 30 чэрвеня.
«У сваёй бягучай ітэрацыі гэты крадзеж можа ахопліваць больш за 30 браўзераў і криптовалютных прыкладанняў, такіх як халодныя крыпта-кашалькі, пашырэнні крыпта-браўзераў і г.д.»
Даныя, выкрадзеныя з сістэмы ахвяры, паступаюць у выглядзе інфармацыі браўзераў Chromium і Mozilla, у тым ліку даных пашырэння криптовалюты і даных для ўваходу. Ён таксама можа рабіць скрыншоты і красці сеансы чат-праграм, такіх як Discord і Telegram.
Шкоднасная праграма таксама нацэлена на халодныя крыпта-кашалькі, такія як Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda і Coinomi, а таксама на кашалькі, якія падтрымліваюць Zcash і Ethereum, шукаючы файлы кашалькоў у каталогу і адпраўляючы копію файлы зламыснікам, паведамляе Cyble.
Кампанія па кібербяспецы адзначыла, што шкоднаснае ПЗ распаўсюджваецца на навучальных відэароліках YouTube па майнінгу, якія нібыта з'яўляюцца бясплатным праграмным забеспячэннем для майнинга біткойнаў.
Кіберзлачынцы або «актары пагрозы» запампоўваюць відэаролікі, якія інструктуюць гледачоў перайсці па спасылцы ў апісанні і загрузіць бясплатнае праграмнае забеспячэнне, а таксама заахвочваючы іх таксама адключыць іх антывіруснае праграмнае забеспячэнне, якое забяспечвае паспяховую працу шкоднасных праграм.
Кампанія Cyble заявіла, што па стане на 80 чэрвеня ў зламысніка было каля 30 відэа на іх канале YouTube, аднак ідэнтыфікаваны канал з тых часоў быў выдалены.
Пошук Cointelegraph выявіў, што падобныя спасылкі на шкоднасныя праграмы застаюцца на іншых меншых каналах YouTube, з відэа, якія абяцаюць бясплатны NFT-майнинг, крэкі для платнага праграмнага забеспячэння, бясплатны прэміум Spotify, чыты і мадыфікацыі гульняў.
Многія з гэтых уліковых запісаў былі створаны толькі за апошнія 24 гадзіны.
Цікава, што шкоднаснае ПЗ распрацавана, каб спыніць сябе, калі даведаецца, што ахвяра знаходзіцца ў Расіі, Украіне, Беларусі і Казахстане. Cyble таксама выявіў, што шкоднасная праграма пераўтворыць выкрадзеныя ахвярай даныя гадзіннага пояса ў рускі стандартны час (RST), калі даныя адпраўляюцца назад зламыснікам.
У лютым названа шкоднасная праграма Mars Stealer быў ідэнтыфікаваны як арыентаваныя на крыптакашалькі, якія працуюць як пашырэнні браўзера Chromium, такія як MetaMask, Binance Chain Wallet або Coinbase Wallet.
Chainalysis папярэджаны ў студзені што нават «нізкакваліфікаваныя кіберзлачынцы» цяпер выкарыстоўваюць шкоднасныя праграмы, каб забраць сродкі ў крыпта-хадлераў, пры гэтым на крыптаўзлом прыходзіцца 73% ад агульнай кошту, атрыманага адрасамі, звязанымі са шкоднаснымі праграмамі, у перыяд з 2017 па 2021 год.
Крыніца: https://cointelegraph.com/news/pennywise-crypto-stealing-malware-spreads-through-youtube