Uma nova variedade de malware criptográfico está sendo espalhada pelo YouTube, enganando os usuários a baixar um software projetado para roubar dados de 30 carteiras criptográficas e extensões de navegadores criptográficos.
A empresa de inteligência cibernética Cyble, disse que estava rastreando o malware conhecido como PennyWise – provavelmente com o nome do monstro do romance de terror de Stephen King, It – desde que foi identificado pela primeira vez em maio. Em uma postagem no blog, Cyble escreveu:
“Nossa investigação indica que o ladrão é uma ameaça emergente. Em sua iteração atual, esse ladrão pode atingir mais de 30 navegadores e aplicativos de criptomoeda, como carteiras de criptomoedas frias, extensões de navegador de criptomoedas, etc.”
Os dados roubados do sistema da vítima vêm na forma de informações do navegador Chromium e Mozilla, incluindo dados de extensão de criptomoedas e dados de login. Ele também pode fazer capturas de tela e roubar sessões de aplicativos de bate-papo, como Discord e Telegram.
O malware também tem como alvo carteiras de criptomoedas frias, como Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda e Coinomi, bem como carteiras que suportam Zcash (ZEC) e Ether (ETH) procurando por arquivos de carteira no diretório e enviando uma cópia dos arquivos para os invasores.
A empresa de segurança cibernética observou que o malware está sendo espalhado em vídeos educativos sobre mineração do YouTube, que pretendem ser um software de mineração Bitcoin gratuito.
Os cibercriminosos enviam vídeos instruindo os espectadores a visitar o link na descrição e baixar o software gratuito, além de incentivá-los a desativar o software antivírus, o que permite que o malware seja executado com sucesso.
Cyble disse que o invasor tinha até 80 vídeos em seu canal do YouTube em 30 de junho. No entanto, o canal identificado foi removido.
Uma pesquisa do Cointelegraph encontrou links semelhantes para o malware em outros canais menores do YouTube, com vídeos prometendo mineração gratuita de tokens não fungíveis (NFTs), cracks para software pago, Spotify premium gratuito, truques de jogos e etc. Muitas dessas contas só foram criadas nas últimas 24 horas.
Curiosamente, o malware foi projetado para parar se descobrir que a vítima está baseada na Rússia, Ucrânia, Bielorrússia e Cazaquistão. Cyble também descobriu que o malware converte os dados de fuso horário roubados da vítima para o horário padrão de Moscou (MSK) quando os dados são enviados de volta aos invasores.
Em fevereiro, o malware chamado “Mars Stealer” foi identificado como direcionado a carteiras de criptomoedas que funcionam como extensões do navegador Chromium, como MetaMask, Binance Chain Wallet ou Coinbase Wallet.
A Chainalysis alertou em janeiro que mesmo criminosos cibernéticos pouco qualificados agora estão usando malware para tirar fundos de hodlers de criptomoedas, com o cryptojacking respondendo por 73% do valor total recebido por endereços relacionados a malware entre 2017 e 2021.