Malware (hay phần mềm độc hại) nhắm mục tiêu vào ví Zcash và Ethereum cùng với Electrum, Atomic Wallet và Coinomi, nó lấy tiện ích mở rộng trình duyệt, dữ liệu đăng nhập và đọc nhật ký trò chuyện của người dùng.
.jpeg)
Một loại phần mềm độc hại tiền mã hóa mới đang được lan truyền qua YouTube, lừa người dùng tải xuống để lấy cắp dữ liệu từ 30 ví và tiện ích mở rộng trình duyệt tiền mã hóa.
Công ty tình báo mạng Cyble cho biết họ đã theo dõi phần mềm độc hại được gọi là “PennyWise” kể từ khi nó được xác định lần đầu tiên vào tháng 5.
“Trong lần lặp lại hiện tại, kẻ đánh cắp này có thể nhắm mục tiêu hơn 30 trình duyệt và ứng dụng tiền mã hóa như ví lạnh, tiện ích mở rộng trình duyệt, v.v.”
Dữ liệu bị đánh cắp từ hệ thống của nạn nhân ở dạng thông tin trình duyệt Chromium và Mozilla, bao gồm dữ liệu tiện ích mở rộng tiền mã hóa và dữ liệu đăng nhập. Nó cũng có thể chụp ảnh màn hình và đánh cắp phiên của các ứng dụng trò chuyện như Discord và Telegram.
Theo Cyble, phần mềm độc hại này cũng nhắm mục tiêu vào các ví lạnh như Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda và Coinomi, cũng như các ví hỗ trợ Zcash và Ethereum bằng cách tìm kiếm các tệp ví trong thư mục và gửi bản sao của tệp cho những kẻ tấn công.
Công ty an ninh mạng lưu ý rằng phần mềm độc hại đang được phát tán trên các video giáo dục về mining trên YouTube với mục đích trở thành phần mềm mining Bitcoin miễn phí.
Tội phạm mạng tải lên video hướng dẫn kèm theo liên kết trong phần mô tả và yêu cầu người xem tải xuống phần mềm miễn phí, đồng thời khuyến khích họ tắt phần mềm chống vi-rút để phần mềm độc hại chạy thành công.
Cyble cho biết kẻ tấn công đã có tới 80 video trên kênh YouTube tính đến ngày 30 tháng 6, tuy nhiên, kênh được xác định đã bị xóa.
Các liên kết tương tự với phần mềm độc hại vẫn còn trên các kênh YouTube nhỏ hơn khác, với các video hứa hẹn mining NFT miễn phí, các bản crack cho phần mềm trả phí, Spotify cao cấp miễn phí, gian lận trò chơi và mod.
Nhiều tài khoản trong số này chỉ mới được tạo trong vòng 24 giờ qua.
Đặc biệt, phần mềm độc hại được thiết kế để tự ngăn chặn nếu phát hiện ra các nạn nhânsống ở Nga, Ukraine, Belarus và Kazakhstan. Cyble cũng phát hiện ra rằng phần mềm độc hại chuyển đổi dữ liệu múi giờ bị đánh cắp của nạn nhân thành Giờ chuẩn của Nga (RST) khi dữ liệu được gửi lại cho những kẻ tấn công.
Vào tháng 2, một phần mềm độc hại có tên Mars Stealer đã được xác định là nhắm mục tiêu vào các ví tiền mã hóa hoạt động dưới dạng tiện ích mở rộng trình duyệt Chromium như MetaMask, Binance Chain Wallet hoặc Coinbase Wallet.
Ngoài ra vào tháng 1, Chainalysis đã cảnh báo rằng ngay cả “tội phạm mạng có kỹ năng thấp” hiện cũng đang sử dụng phần mềm độc hại để lấy tiền từ những kẻ lừa đảo tiền mã hóa, với việc tấn công chiếm 73% tổng giá trị mà các địa chỉ liên quan đến phần mềm độc hại nhận được từ năm 2017 đến năm 2021.
