暗号化マルウェアの新種が YouTube を介して拡散されており、ユーザーをだまして 30 の暗号化ウォレットと暗号化ブラウザー拡張機能からデータを盗むように設計されたソフトウェアをダウンロードさせています。
6 月 30 日のサイバー インテリジェンス会社 Cybleブログ スティーブン・キングのホラー小説「It」に登場する怪物にちなんで名付けられた可能性が高い「PennyWise」として知られるマルウェアを追跡していたという。初め 5月に判明。
Cyble は 6 月 30 日のブログ投稿で、「私たちの調査は、スティーラーが新たな脅威であることを示しています。
「現在のイテレーションでは、このスティーラーは 30 を超えるブラウザと、コールド クリプト ウォレット、クリプト ブラウザ拡張機能などのクリプトカレンシー アプリケーションを標的にすることができます。」
被害者のシステムから盗まれたデータは、暗号通貨拡張データやログイン データなど、Chromium および Mozilla ブラウザー情報の形式で提供されます。また、スクリーンショットを撮り、Discord や Telegram などのチャット アプリケーションのセッションを盗むこともできます。
このマルウェアは、Armory、Bytecoin、Jaxx、Exodus、Electrum、Atomic Wallet、Guarda、Coinomi などのコールド クリプト ウォレット、および Zcash と Ethereum をサポートするウォレットも標的にします。 Cyble によると、攻撃者にファイルを送信します。
サイバーセキュリティ会社は、このマルウェアが、無料のビットコイン マイニング ソフトウェアであると称する YouTube マイニング教育ビデオで拡散されていることを指摘しました。
サイバー犯罪者、または「Threat Actors」は動画をアップロードし、視聴者に説明のリンクにアクセスして無料ソフトウェアをダウンロードするように指示すると同時に、マルウェアを正常に実行できるようにするウイルス対策ソフトウェアを無効にすることも奨励しています。
Cyble は、攻撃者が 6 月 30 日の時点で YouTube チャンネルに 80 本ものビデオを持っていたと述べましたが、特定されたチャンネルはその後削除されました。
Cointelegraph による検索では、マルウェアへの同様のリンクが他の小さな YouTube チャンネルに残っていることがわかりました。これらの動画には、無料の NFT マイニング、有料ソフトウェアのクラック、無料の Spotify プレミアム、ゲームのチート、MOD を約束するものがあります。
これらのアカウントの多くは、過去 24 時間以内に作成されたものです。
関連している:ビットコインを盗むマルウェア: 暗号通貨ユーザーに注意を喚起する苦いリマインダー
興味深いことに、このマルウェアは、被害者がロシア、ウクライナ、ベラルーシ、カザフスタンに拠点を置いていることが判明した場合、自身を停止するように設計されています。 Cyble はまた、データが攻撃者に送り返されるときに、マルウェアが被害者の盗んだタイムゾーン データをロシア標準時 (RST) に変換することも発見しました。
2 月に、マーズ・スティーラーが特定されました MetaMask、Binance Chain Wallet、Coinbase Wallet などの Chromium ブラウザ拡張機能として機能する暗号ウォレットをターゲットにしています。
チェイナリシス1月に警告された 2017 年から 2021 年の間にマルウェア関連のアドレスが受け取った総額の 73% をクリプトジャッキングが占めており、「スキルの低いサイバー犯罪者」でさえマルウェアを使用して仮想通貨ホドラーから資金を盗んでいます。