คริปโต

มัลแวร์ขโมยเงินเข้ารหัสของ PennyWise แพร่กระจายผ่าน YouTube

07/05/2022
ข่าว Bitcoin Ethereum

มัลแวร์เข้ารหัสสายพันธุ์ใหม่กำลังแพร่กระจายผ่าน YouTube หลอกให้ผู้ใช้ดาวน์โหลดซอฟต์แวร์ที่ออกแบบมาเพื่อขโมยข้อมูลจากกระเป๋าเงินเข้ารหัสลับ 30 กระเป๋าและส่วนขยายเบราว์เซอร์เข้ารหัสลับ

บริษัท Cyber ​​​​Security Cyble ในวันที่ 30 มิถุนายน บล็อก โพสต์กล่าวว่ามีการติดตามมัลแวร์ที่เรียกว่า "PennyWise" ซึ่งน่าจะตั้งชื่อตามสัตว์ประหลาดในนวนิยายสยองขวัญของ Stephen King "It" เนื่องจากเป็น เป็นครั้งแรก ระบุในเดือนพฤษภาคม

“การสอบสวนของเราระบุว่าผู้ขโมยเป็นภัยคุกคามที่กำลังเกิดขึ้น” Cyble เขียนในบล็อกโพสต์เมื่อวันที่ 30 มิถุนายน

“ในการทำซ้ำในปัจจุบัน ผู้ขโมยนี้สามารถกำหนดเป้าหมายเบราว์เซอร์มากกว่า 30 ตัวและแอปพลิเคชั่นสกุลเงินดิจิทัล เช่น กระเป๋าเงิน crypto แบบเย็น ส่วนขยายของเบราว์เซอร์เข้ารหัสลับ ฯลฯ”

ข้อมูลที่ถูกขโมยจากระบบของเหยื่อมาในรูปแบบของข้อมูลเบราว์เซอร์ Chromium และ Mozilla รวมถึงข้อมูลส่วนขยายของสกุลเงินดิจิทัลและข้อมูลการเข้าสู่ระบบ นอกจากนี้ยังสามารถจับภาพหน้าจอและขโมยเซสชันของแอปพลิเคชันแชท เช่น Discord และ Telegram

มัลแวร์ยังกำหนดเป้าหมายไปยังกระเป๋าเงินเข้ารหัสลับเช่น Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda และ Coinomi รวมถึงกระเป๋าเงินที่รองรับ Zcash และ Ethereum โดยค้นหาไฟล์กระเป๋าเงินในไดเร็กทอรีและส่งสำเนาของ ไฟล์ไปยังผู้โจมตีตาม Cyble

บริษัทรักษาความปลอดภัยทางไซเบอร์ระบุว่ามัลแวร์กำลังแพร่กระจายบนวิดีโอการศึกษาการขุดบน YouTube โดยอ้างว่าเป็นซอฟต์แวร์ขุด Bitcoin ฟรี

อาชญากรไซเบอร์หรือ “ผู้คุกคาม” อัปโหลดวิดีโอที่แนะนำให้ผู้ชมไปที่ลิงก์ในคำอธิบายและดาวน์โหลดซอฟต์แวร์ฟรี ขณะเดียวกันก็สนับสนุนให้พวกเขาปิดการใช้งานซอฟต์แวร์ป้องกันไวรัส ซึ่งช่วยให้มัลแวร์ทำงานได้อย่างประสบความสำเร็จ

Cyble กล่าวว่าผู้โจมตีมีวิดีโอมากถึง 80 รายการในช่อง YouTube ของพวกเขา ณ วันที่ 30 มิถุนายน อย่างไรก็ตาม ช่องที่ระบุได้ถูกลบไปแล้ว

การค้นหาโดย Cointelegraph พบลิงก์ที่คล้ายกันกับมัลแวร์ยังคงอยู่ในช่อง YouTube ขนาดเล็กอื่น ๆ โดยมีวิดีโอที่สัญญาว่าจะขุด NFT ฟรี รอยแตกสำหรับซอฟต์แวร์ที่ต้องชำระเงิน Spotify พรีเมียมฟรี กลโกงเกมและม็อด

บัญชีเหล่านี้จำนวนมากถูกสร้างขึ้นภายใน 24 ชั่วโมงที่ผ่านมาเท่านั้น

ที่เกี่ยวข้อง มัลแวร์ขโมย Bitcoin: คำเตือนอันขมขื่นสำหรับผู้ใช้ crypto ให้ระมัดระวังตัว

ที่น่าสนใจคือมัลแวร์ถูกออกแบบมาเพื่อหยุดตัวเองหากพบว่าเหยื่ออยู่ในรัสเซีย ยูเครน เบลารุส และคาซัคสถาน Cyble ยังพบว่ามัลแวร์แปลงข้อมูลเขตเวลาที่ถูกขโมยของเหยื่อเป็นเวลามาตรฐานรัสเซีย (RST) เมื่อข้อมูลถูกส่งกลับไปยังผู้โจมตี

ในเดือนกุมภาพันธ์ มัลแวร์ชื่อ Mars Stealer ถูกระบุ กำหนดเป้าหมายไปยังกระเป๋าสตางค์เข้ารหัสลับที่ทำงานเป็นส่วนขยายของเบราว์เซอร์ Chromium เช่น MetaMask, Binance Chain Wallet หรือ Coinbase Wallet

Chainalysis เตือนในเดือนมกราคม ที่แม้แต่ “อาชญากรไซเบอร์ที่มีทักษะต่ำ” ก็ยังใช้มัลแวร์เพื่อรับเงินจากผู้ถือครอง crypto โดย cryptojacking คิดเป็น 73% ของมูลค่าทั้งหมดที่ได้รับจากที่อยู่ที่เกี่ยวข้องกับมัลแวร์ระหว่างปี 2017 ถึง 2021