Le logiciel malveillant de vol de chiffrement PennyWise se propage via YouTube
Une nouvelle souche de crypto-malware se propage via YouTube, incitant les utilisateurs à télécharger un logiciel conçu pour voler les données de 30 portefeuilles crypto et extensions de navigateur crypto.
La société de cyber-intelligence Cyble, dans un article de blog du 30 juin, a déclaré qu’elle suivait un logiciel malveillant connu sous le nom de « PennyWise » – probablement nommé d’après le monstre du roman d’horreur « It » de Stephen King – depuis qu’il était première identifié en mai.
« Notre enquête indique que le voleur est une menace émergente », a écrit Cyble dans un article de blog du 30 juin.
« Dans son itération actuelle, ce voleur peut cibler plus de 30 navigateurs et applications de crypto-monnaie tels que les portefeuilles froids crypto, les extensions de navigateur crypto, etc. »
Les données volées du système de la victime se présentent sous la forme d’informations sur les navigateurs Chromium et Mozilla, y compris les données d’extension de crypto-monnaie et les données de connexion. Il peut également prendre des captures d’écran et voler des sessions d’applications de chat telles que Discord et Telegram.
Le logiciel malveillant cible également les portefeuilles cryptographiques froids tels que Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda et Coinomi, ainsi que les portefeuilles prenant en charge Zcash et Ethereum en recherchant des fichiers de portefeuille dans le répertoire et en envoyant une copie des fichiers à attaquants, selon Cyble.
La société de cybersécurité a noté que le logiciel malveillant se propageait sur des vidéos d’éducation minière YouTube prétendant être un logiciel d’exploitation minière Bitcoin gratuit.
Les cybercriminels, ou « acteurs de la menace », téléchargent des vidéos demandant aux téléspectateurs de visiter le lien dans la description et de télécharger le logiciel gratuit, tout en les encourageant à désactiver leur logiciel antivirus, ce qui permet au logiciel malveillant de s’exécuter avec succès.
Cyble a déclaré que l’attaquant avait jusqu’à 80 vidéos sur sa chaîne YouTube au 30 juin, mais la chaîne identifiée a depuis été supprimée.
Les recherches de TUSEN ont révélé que des liens similaires vers le malware subsistent sur d’autres chaînes YouTube plus petites, avec des vidéos promettant l’extraction gratuite de NFT, des fissures pour les logiciels payants, Spotify premium gratuit, des tricheurs de jeux et des mods.
Beaucoup de ces comptes n’ont été créés qu’au cours des dernières 24 heures.
Lié: Bitcoin Stealing Malware: rappel amer aux utilisateurs de cryptographie de rester vigilants
Fait intéressant, le logiciel malveillant est conçu pour s’arrêter s’il découvre que la victime est basée en Russie, en Ukraine, en Biélorussie et au Kazakhstan. Cyble a également découvert que le logiciel malveillant convertit les données de fuseau horaire volées de la victime en heure normale russe (RST) lorsque les données sont renvoyées aux attaquants.
En février, un malware nommé Mars Stealer a été identifié comme ciblant les portefeuilles cryptographiques qui fonctionnent comme des extensions de navigateur Chromium telles que MetaMask, Binance Chain Wallet ou Coinbase Wallet.
Chainalysis a averti en janvier que même les « cybercriminels peu qualifiés » utilisent désormais des logiciels malveillants pour extraire des fonds des crypto-hodlers, le cryptojacking représentant 73% de la valeur totale reçue par les adresses liées aux logiciels malveillants entre 2017 et 2021.