Une nouvelle souche de crypto-malware se propage via YouTube, incitant les utilisateurs à télécharger un logiciel conçu pour voler les données de 30 portefeuilles crypto et extensions de navigateur crypto.
La société de cyberintelligence Cyble dans un 30 juin blogue post a déclaré qu'il suivait le malware connu sous le nom de "PennyWise" - probablement nommé d'après le monstre du roman d'horreur "It" de Stephen King - depuis qu'il était premier identifié en mai.
"Notre enquête indique que le voleur est une menace émergente", a écrit Cyble dans un article de blog le 30 juin.
"Dans son itération actuelle, ce voleur peut cibler plus de 30 navigateurs et applications de crypto-monnaie tels que les portefeuilles crypto froids, les extensions de navigateur crypto, etc."
Les données volées du système de la victime se présentent sous la forme d'informations sur les navigateurs Chromium et Mozilla, y compris les données d'extension de crypto-monnaie et les données de connexion. Il peut également prendre des captures d'écran et voler des sessions d'applications de chat telles que Discord et Telegram.
Le logiciel malveillant cible également les portefeuilles cryptographiques froids tels que Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda et Coinomi, ainsi que les portefeuilles prenant en charge Zcash et Ethereum en recherchant des fichiers de portefeuille dans le répertoire et en envoyant une copie du fichiers aux attaquants, selon Cyble.
La société de cybersécurité a noté que le logiciel malveillant se propageait sur des vidéos éducatives sur l'exploitation minière YouTube prétendant être un logiciel d'exploitation minière Bitcoin gratuit.
Les cybercriminels, ou "Threat Actors", téléchargent des vidéos demandant aux téléspectateurs de visiter le lien dans la description et de télécharger le logiciel gratuit, tout en les encourageant également à désactiver leur logiciel antivirus qui permet au malware de fonctionner avec succès.
Cyble a déclaré que l'attaquant avait jusqu'à 80 vidéos sur sa chaîne YouTube au 30 juin, mais la chaîne identifiée a depuis été supprimée.
Une recherche effectuée par Cointelegraph a révélé que des liens similaires vers le malware subsistent sur d'autres chaînes YouTube plus petites, avec des vidéos promettant l'extraction gratuite de NFT, des cracks pour les logiciels payants, Spotify premium gratuit, des tricheurs de jeux et des mods.
Beaucoup de ces comptes n'ont été créés qu'au cours des dernières 24 heures.
Fait intéressant, le logiciel malveillant est conçu pour s'arrêter s'il découvre que la victime est basée en Russie, en Ukraine, en Biélorussie et au Kazakhstan. Cyble a également découvert que le logiciel malveillant convertit les données de fuseau horaire volées de la victime en heure normale russe (RST) lorsque les données sont renvoyées aux attaquants.
En février, un malware nommé Mars Stealer a été identifié comme ciblant les portefeuilles cryptographiques qui fonctionnent comme des extensions de navigateur Chromium telles que MetaMask, Binance Chain Wallet ou Coinbase Wallet.
Réduction de la chaîne prévenu en janvier que même les « cybercriminels peu qualifiés » utilisent désormais des logiciels malveillants pour soutirer des fonds aux détenteurs de crypto, le cryptojacking représentant 73 % de la valeur totale reçue par les adresses liées aux logiciels malveillants entre 2017 et 2021.
Source : https://cointelegraph.com/news/pennywise-crypto-stealing-malware-spreads-through-youtube