يتم نشر سلالة جديدة من برامج التشفير الضارة عبر موقع YouTube، مما يخدع المستخدمين لتنزيل البرامج المصممة لسرقة البيانات من 30 محفظة تشفير وملحقات متصفح التشفير.
شركة الاستخبارات السيبرانية Cyble في 30 يونيو مدونة قالت شركة Post إنها كانت تتعقب البرنامج الضار المعروف باسم "PennyWise" - والذي سُمي على الأرجح على اسم الوحش في رواية الرعب لستيفن كينج "It" - منذ أن كان أول تم تحديدها في مايو.
كتب سايبل في تدوينة بتاريخ 30 يونيو: "تشير تحقيقاتنا إلى أن السارق يمثل تهديدًا ناشئًا".
"في نسخته الحالية، يمكن لهذا السارق استهداف أكثر من 30 متصفحًا وتطبيقًا للعملات المشفرة مثل محافظ العملات المشفرة الباردة، وملحقات متصفحات العملات المشفرة، وما إلى ذلك."
تأتي البيانات المسروقة من نظام الضحية في شكل معلومات متصفح Chromium وMozilla، بما في ذلك بيانات امتداد العملة المشفرة وبيانات تسجيل الدخول. ويمكنه أيضًا التقاط لقطات شاشة وسرقة جلسات تطبيقات الدردشة مثل Discord وTelegram.
تستهدف البرامج الضارة أيضًا محافظ العملات المشفرة الباردة مثل Armory وBytecoin وJaxx وExodus وElectrum وAtomic Wallet وGuarda وCoinomi، بالإضافة إلى المحافظ التي تدعم Zcash وEthereum من خلال البحث عن ملفات المحفظة في الدليل وإرسال نسخة من ملف المحفظة. الملفات إلى المهاجمين، وفقًا لـ Cyble.
لاحظت شركة الأمن السيبراني أن البرامج الضارة تنتشر على مقاطع فيديو تعليمية للتعدين على YouTube تزعم أنها برامج مجانية لتعدين Bitcoin.
يقوم مجرمو الإنترنت، أو "الجهات الفاعلة في مجال التهديد" بتحميل مقاطع فيديو لتوجيه المشاهدين لزيارة الرابط الموجود في الوصف وتنزيل البرنامج المجاني، مع تشجيعهم أيضًا على تعطيل برنامج مكافحة الفيروسات الخاص بهم والذي يمكّن البرامج الضارة من العمل بنجاح.
وقال سايبل إن المهاجم كان لديه ما يصل إلى 80 مقطع فيديو على قناته على يوتيوب اعتبارًا من 30 يونيو، ولكن تمت إزالة القناة المحددة منذ ذلك الحين.
وجد بحث أجراه كوينتيليغراف وجود روابط مماثلة للبرامج الضارة على قنوات يوتيوب أصغر أخرى، مع مقاطع فيديو تعد بتعدين NFT مجانًا، وشقوق للبرامج المدفوعة، وSpotify premium مجانًا، وغش وتعديلات الألعاب.
تم إنشاء العديد من هذه الحسابات خلال الـ 24 ساعة الماضية فقط.
هذا الموضوع ذو علاقة بـ: بيتكوين يسرق البرامج الضارة: تذكير مرير لمستخدمي العملات المشفرة ليبقوا يقظين
ومن المثير للاهتمام أن البرامج الضارة مصممة لإيقاف نفسها إذا اكتشفت أن الضحية يقيم في روسيا وأوكرانيا وبيلاروسيا وكازاخستان. ووجد Cyble أيضًا أن البرنامج الضار يحول بيانات المنطقة الزمنية المسروقة للضحية إلى التوقيت الرسمي الروسي (RST) عندما يتم إرسال البيانات مرة أخرى إلى المهاجمين.
في فبراير، تم تسمية البرامج الضارة تم التعرف على سارق المريخ كاستهداف محافظ العملات المشفرة التي تعمل كامتدادات لمتصفح Chromium مثل MetaMask أو Binance Chain Wallet أو Coinbase Wallet.
Chainalysis حذر في يناير أنه حتى "مجرمو الإنترنت من ذوي المهارات المنخفضة" يستخدمون الآن البرامج الضارة للحصول على أموال من متداولي العملات المشفرة، حيث يمثل التعدين الخفي 73% من إجمالي القيمة التي تتلقاها العناوين ذات الصلة بالبرامج الضارة بين عامي 2017 و2021.
المصدر: https://cointelegraph.com/news/pennywise-crypto-stealing-malware-spreads-through-youtube