A kártevő az Electrum, az Atomic Wallet és a Coinomi mellett a Zcash és Ethereum tárcákat is célba veszi, megszerzi a bejelentkezési adatokat, valamint kiolvassa a chatnaplókat.
Egy új vírus terjed a YouTube-on keresztül, amely a felhasználókat olyan szoftver letöltésére csábítja, amely 30 kriptotárca és kriptoböngésző-bővítmény adatainak ellopására szolgál.
A Cyble kibernetikai hírszerző cég egy június 30-i blogbejegyzésben közölte, hogy a PennyWise nevű kártevőt – amely valószínűleg Stephen King It című horrorregényének szörnyéről kapta a nevét – azóta követi, hogy májusban először azonosították.
„Vizsgálataink azt mutatják, hogy a tolvaj egy újonnan megjelenő program. Jelenlegi iterációjában ez több mint 30 böngészőt és kriptopénz-alkalmazást, például hideg kriptotárcákat, kriptoböngésző-bővítményeket tud célba venni.”
Az áldozatok rendszeréből ellopott adatok a Chromium és Mozilla böngésző információi formájában érkeznek, beleértve a kriptopénz-bővítmények adatait és a bejelentkezési adatokat.
Emellett képernyőfotókat is készíthet, és ellophatja a chat-alkalmazások, például a Discord és a Telegram munkameneteit.
A kártevő a hideg kriptotárcákat is célba veszi, mint például az Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda és Coinomi, valamint a Zcash (ZEC) és Ether (ETH) tárcákat támogató tárcákat, mivel a Cyble szerint tárcafájlokat keres a könyvtárban, és a fájlok másolatát elküldi a támadóknak.
A kiberbiztonsági vállalat megjegyezte, hogy a kártevőt a YouTube bányászati oktatóvideókon terjesztik, amelyek azt állítják, hogy ingyenes Bitcoin-bányászati szoftvert kínálnak.
A kiberbűnözők olyan videókat töltenek fel, amelyekben arra utasítják a nézőket, hogy látogassanak el a leírásban szereplő linkre, és töltsék le az ingyenes szoftvert, miközben arra is ösztönzik őket, hogy kapcsolják ki a vírusirtó szoftverüket is, ami lehetővé teszi a kártevő sikeres futtatását.
A Cyble szerint a támadónak június 30-ig akár 80 videója is volt a YouTube-csatornáján. Az azonosított csatornát azonban azóta eltávolították.
A rosszindulatú szoftverhez hasonló linkek más kisebb YouTube-csatornákon is megmaradtak, olyan videókkal, amelyek ingyenes nonfungible token (NFT) bányászatot, fizetős szoftverek feltörését, ingyenes Spotify prémiumot, játékcsalásokat és modokat ígérnek. Sok ilyen fiókot csak az elmúlt 24 órában hoztak létre.
Érdekes módon a vírus úgy van kialakítva, hogy leállítja magát, ha rájön, hogy az áldozat Oroszországban, Ukrajnában, Fehéroroszországban és Kazahsztánban él.
A Cyble azt is megállapította, hogy a vírus az áldozat időzóna adatait moszkvai időre (MSK) konvertálja, amikor az adatokat visszaküldi a támadóknak.
Februárban azonosították a Mars Stealer nevű kártevőt, amely olyan kriptotárcákat célzott meg, amelyek Chromium böngészőbővítményként működnek, mint a MetaMask, a Binance Chain Wallet vagy a Coinbase Wallet.
A Chainalysis januárban arra figyelmeztetett, hogy ma már „alacsonyan képzett kiberbűnözők” is rosszindulatú szoftvereket használnak arra, hogy pénzt vegyenek el a kriptotárcáktól: a 2017 és 2021 között a rosszindulatú szoftverekkel kapcsolatos címek által kapott teljes érték 73%-át ezek teszik ki.
Olvastad már? A fél piac nevet rajta, szinte mindig rossz befektetési tippeket ad
Forrás: cointelegraph.com
SZERETNÉD MEGKAPNI LEGFRISSEBB HÍREINKET? IRATKOZZ FEL HÍRLEVELÜNKRE!