Malware PennyWise atakuje. Rozpowszechnia się poprzez YouTube
Analitycy z Cyble Research Labs wykryli nowe zagrożenie, tym razem groźne głównie dla inwestorów w kryptowaluty. Głównym celem malware PennyWise jest kradzież portfeli kryptowalutowych, ale także pozyskiwanie poufnych danych z przeglądarek.
05.07.2022 18:07
Badacze podają, że PennyWise jest szczególnie groźne ze względu na nietypowy sposób rozpowszechniania. Na serwisie YouTube można znaleźć linki ze szkodnikiem w opisach filmów dotyczących kryptowalut. W teorii takowe prowadzą na strony z darmowym oprogramowaniem do wydobywania Bitcoinów, jednak w rzeczywistości użytkownik pobiera wspomniane już malware.
Gdy użytkownik odwiedza łącze, szkodnik instruuje go jak pobrać złośliwe oprogramowanie. Plik z malware PennyWise jest spakowany i chroniony hasłem, zaś strona nakłania użytkowników do wyłączenia programu antywirusowego w celu pomyślnego wykonania instalacji złośliwego oprogramowania. Na YouTubie ma się znajdować ponad 80 filmów wideo, które służą do masowego infekowania urządzeń.
Malware ma szerokie możliwości - zostało stworzone do pobierania danych z ponad 30 przeglądarek opartych na Chrome, a także przeglądarek opartych na Mozilli. Użytkownicy Microsoft Edge również nie mogą się czuć bezpieczni. Po uzyskaniu ścieżki przeglądarki PennyWise pobiera nazwę użytkownika, nazwę komputera, język systemu i szczegóły strefy czasowej. Oprogramowanie próbuje zidentyfikować kraj ofiary i kończy wykonywanie, jeśli ofiara znajduje się poza Rosją, Ukrainą, Białorusią lub Kazachstanem.
Szkodnik, jak wskazują badacze, wykorzystuje wielowątkowość do kradzieży danych. Każdy pojedynczy wątek jest odpowiedzialny za wykonanie innej operacji, takiej jak kradzież plików ofiary, zbieranie danych przeglądarki, kradzież danych dotyczących rozszerzenia kryptowaluty przeglądarki, robienie zrzutów ekranu, kradzież sesji aplikacji czatowych oraz wielu innych.
Głównym celem są portfele kryptograficzne, takie jak:
- Zcash,
- Armoury,
- Bytecoin,
- Jaxx,
- Exodus,
- Ethereum,
- Electreum,
- Atomic Wallet,
- Guarda
- Coinomi.
Aby ukraść dane z tych portfeli, malware szuka plików portfeli w systemie i kopiuje je w celu eksfiltracji. Ze względu na spore spektrum zdolności szkodnika, badacze zakładają, że w przyszłości pojawią się nowe warianty tego złodzieja.
Karolina Kowasz, dziennikarz dobreprogramy.pl