PennyWise, malware de roubo de criptomoedas, se espalha pelo YouTube

O malware tem como alvo as carteiras Zcash e Ethereum junto com Electrum, Atomic Wallet e Coinomi. Ele pega a extensão do navegador e os dados de login e lê seus logs de bate-papo.

Uma nova variedade de malware cripto está se espalhando pelo YouTube, enganando os usuários para baixarem um software projetado para roubar dados de 30 carteiras de criptomoedas e extensões cripto de navegadores.

A empresa de inteligência cibernética Cyble, em um post em seu blog em 30 de junho, disse que estava rastreando o malware conhecido como PennyWise – provavelmente nomeado a partir do monstro do romance de terror de Stephen King, It – desde que foi identificado pela primeira vez em maio.

“Nossa investigação indica que o ladrão é uma ameaça emergente”, escreveu Cyble em uma postagem no blog em 30 de junho:

“Em sua iteração atual, esse ladrão pode atingir mais de 30 navegadores e aplicativos de criptomoedas, como carteiras de criptomoedas frias, extensões de criptomoedas dos navegadores, etc.”

Os dados roubados do sistema da vítima vêm na forma de informações do navegador Chromium e Mozilla, incluindo dados de extensão de criptomoeda e dados de login. Ele também pode fazer capturas de tela e roubar sessões de aplicativos de bate-papo, como Discord e Telegram.

O malware também tem como alvo carteiras de criptomoeda frias, como Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda e Coinomi, bem como carteiras que suportam Zcash (ZEC) e Ether (ETH) procurando por arquivos de carteira no diretório e enviando uma cópia dos arquivos para os invasores, de acordo com Cyble.

A empresa de segurança cibernética observou que o malware está sendo espalhado em vídeos educativos sobre mineração do YouTube, que fingem ser um software de mineração de Bitcoin gratuito.

Os cibercriminosos, ou “Atores de Ameaças”, enviam vídeos instruindo os espectadores a visitar o link na descrição e baixar o software gratuito, além de incentivá-los a desativar o software antivírus, o que permite que o malware seja executado com sucesso.

Cyble disse que o invasor tinha até 80 vídeos em seu canal do YouTube em 30 de junho. No entanto, o canal identificado foi removido.

Uma pesquisa do Cointelegraph encontrou links semelhantes para o malware em outros canais menores do YouTube, com vídeos prometendo mineração gratuita de tokens não fungíveis (NFT), cracks para software pago, Spotify premium gratuito, cheats e mods de jogos.

Muitas dessas contas só foram criadas nas últimas 24 horas.

Curiosamente, o malware foi projetado para de funcionar se descobrir que a vítima está baseada na Rússia, Ucrânia, Bielorrússia e Cazaquistão. A Cyble também descobriu que o malware converte os dados de fuso horário roubados da vítima para o horário padrão de Moscou (MSK) quando os dados são enviados de volta aos invasores.

Em fevereiro, o malware chamado Mars Stealer foi identificado como direcionado a carteiras de criptomoedas que funcionam como extensões do navegador Chromium, como MetaMask, Binance Chain Wallet ou Coinbase Wallet.

A Chainalysis alertou em janeiro que mesmo “criminosos cibernéticos pouco qualificados” agora estão usando malware para tirar fundos de hodlers de criptoativos, com o roubo de criptoativos respondendo por 73% do valor total recebido por endereços relacionados a malware entre 2017 e 2021.

LEIA MAIS: 

Você pode gostar...