Cảnh báo mã độc PennyWise “gặm nhấm” ví tiền điện tử lây lan qua YouTube

Phần mềm độc hại nhắm mục tiêu vào ví Zcash và Ethereum cùng với Electrum, Atomic Wallet và Coinomi, nó lấy tiện ích mở rộng của trình duyệt và dữ liệu đăng nhập và đọc nhật ký trò chuyện của bạn.

Một loại phần mềm độc hại tiền điện tử mới đang được lan truyền qua YouTube, lừa người dùng tải xuống phần mềm được thiết kế để đánh cắp dữ liệu từ 30 ví tiền điện tử và tiện ích mở rộng trình duyệt tiền điện tử.

Công ty tình báo mạng Cyble trong một bài đăng trên blog ngày 30 tháng 6 cho biết họ đã theo dõi phần mềm độc hại được gọi là “PennyWise” – có khả năng được đặt tên theo con quái vật trong tiểu thuyết kinh dị “It” của Stephen King – kể từ khi nó được xác định lần đầu tiên vào tháng 5.

“Cuộc điều tra của chúng tôi chỉ ra rằng kẻ trộm là một mối đe dọa mới nổi,” Cyble viết trong một bài đăng trên blog vào ngày 30 tháng 6.

“Trong lần lặp lại hiện tại, kẻ đánh cắp này có thể nhắm mục tiêu hơn 30 trình duyệt và ứng dụng tiền điện tử như ví tiền điện tử lạnh, tiện ích mở rộng trình duyệt tiền điện tử, v.v.”

Dữ liệu bị đánh cắp từ hệ thống của nạn nhân ở dạng thông tin trình duyệt Chromium và Mozilla, bao gồm dữ liệu tiện ích mở rộng tiền điện tử và dữ liệu đăng nhập. Nó cũng có thể chụp ảnh màn hình và đánh cắp phiên của các ứng dụng trò chuyện như Discord và Telegram.

Phần mềm độc hại này cũng nhắm mục tiêu vào các ví tiền điện tử lạnh giá như Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda và Coinomi, cũng như các ví hỗ trợ Zcash và Ethereum bằng cách tìm kiếm các tệp ví trong thư mục và gửi bản sao của theo Cyble.

Công ty an ninh mạng lưu ý rằng phần mềm độc hại này đang được lan truyền trên các video giáo dục đào mỏ trên YouTube với mục đích trở thành phần mềm khai thác Bitcoin miễn phí.

Tội phạm mạng, hay còn gọi là “Kẻ đe dọa” tải lên video hướng dẫn người xem truy cập liên kết trong mô tả và tải xuống phần mềm miễn phí, đồng thời khuyến khích họ tắt phần mềm chống vi-rút để phần mềm độc hại chạy thành công.

Cyble cho biết kẻ tấn công đã có tới 80 video trên kênh YouTube của họ tính đến ngày 30 tháng 6, tuy nhiên, kênh được xác định đã bị xóa.

Đã tìm thấy các liên kết tương tự với phần mềm độc hại vẫn còn trên các kênh YouTube nhỏ hơn khác, với các video hứa hẹn khai thác NFT miễn phí, các bản crack cho phần mềm trả phí, Spotify cao cấp miễn phí, gian lận trò chơi và mod.

Nhiều tài khoản trong số này chỉ mới được tạo trong vòng 24 giờ qua.

Điều thú vị là phần mềm độc hại được thiết kế để tự ngăn chặn nếu phát hiện ra nạn nhân sống ở Nga, Ukraine, Belarus và Kazakhstan. Cyble cũng phát hiện ra rằng phần mềm độc hại chuyển đổi dữ liệu múi giờ bị đánh cắp của nạn nhân sang Giờ chuẩn Nga (RST) khi dữ liệu được gửi lại cho những kẻ tấn công.

Vào tháng 2, phần mềm độc hại có tên Mars Stealer đã được xác định là nhắm mục tiêu vào các ví tiền điện tử hoạt động dưới dạng tiện ích mở rộng trình duyệt Chromium như MetaMask, Binance Chain Wallet hoặc Coinbase Wallet.

Chainalysis đã cảnh báo vào tháng 1 rằng ngay cả “tội phạm mạng có kỹ năng thấp” hiện đang sử dụng phần mềm độc hại để lấy tiền từ những kẻ lừa đảo tiền điện tử, với việc tấn công tiền điện tử chiếm 73% tổng giá trị mà các địa chỉ liên quan đến phần mềm độc hại nhận được từ năm 2017 đến năm 2021.

Bài viết mới
Tin nổi bật