Cyble Research Labs ostrzega przed kolejnym sposobem rozprzestrzeniania się złośliwego oprogramowania. Tym razem jeden z YouTuberów nabierał swoje ofiary poprzez poradniki kopania kryptowalut, przemycając im złośliwe oprogramowanie PennyWise.
Jeden z najnowszych przypadków pokazuje rozprzestrzenianie się złośliwego oprogramowania PennyWise z wykorzystaniem serwisu YouTube, ale na szczęście "youtuber", o którym mowa, zgromadził stosunkowo mało wyświetleń i być może niewiele ofiar. Sztuczka była dość prosta. Z czasem na kanale pojawiło się ponad 80 filmów, promujących wydobywanie kryptowalut na różne sposoby i udzielających porad, jak to zrobić. Dołączano nawet prezentacje, jakiego oprogramowania użyć i tu pojawia się problem. Przestawiane oprogramowanie oraz oprogramowanie, które było oferowane do pobrania w opisie filmu, nie były tożsame. Atakujący oferował zabezpieczone hasłem archiwum (oczywiście podawał hasło w treści materiałów), co miało wzbudzić większe zaufanie (według badań psychologicznych ochrona hasłem jest znaną metodą zwiększania wrażenia wiarygodności). Atakujący nakłaniał widza do wyłączenia programu antywirusowego, który może zgłosić, że jest to potencjalne zagrożenie, ale zapewniał, że oprogramowanie jest całkowicie bezpieczne. Próbował też uwiarygodnić swoje słowa, zamieszczając link do wyniku testu VirusTotal, jednak (co zrozumiałe) nie pasował on do pliku, który miał zostać pobrany. Ostrożnym użytkownikom oczywiście już dawno zapaliłyby się czerwone lampki, jednak jak powszechnie wiadomo, nie brakuje osób z nadmiernym zaufaniem, zwłaszcza do YouTuberów.
Poradniki kopania kryptowalut niekiedy niosą ze sobą zagrożenie dla nieostrożnych użytkowników. Zamiast skryptów kopiących monety złodzieje przemycają złośliwe oprogramowanie.
Po zainstalowaniu złośliwe oprogramowanie uruchamiło detekcję przeglądarki internetowej, wykrywając nazwę użytkownika, nazwę komputera, język i strefę czasową, którą zmieniało na Russian Standard Time (RST). Jeśli skrypt wykrył, że komputer znajduje się w Rosji, na Ukrainie, Białorusi lub w Kazachstanie, natychmiast się wyłączał. Następnie próbował ustalić w jakim środowisku jest uruchomiony i jeśli wykrył, że jest uruchomiony w maszynie wirtualnej lub piaskownicy, również kończył pracę. Próbowano też dowiedzieć się, jaki antywirus był używany oraz narzędzia analityczne i monitorujące.
Jeśli spełnione zostały odpowiednie warunki, program przeszukiwał dyski w poszukiwaniu małych plików rtf, doc, docx, txt i json, pobierał listę zainstalowanych aplikacji, wykradał dane takie jak dane logowania, ciasteczka, klucze szyfrujące ze wszystkich znanych mu przeglądarek, pobierał tokeny do Discorda i Telegrama i robił zrzuty ekranu. Starał się również poznać dane do portfeli kryptowalutowych Litecoina, Dasha i Bitcoina oraz wszelkie dane związane z zimnymi portfelami Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic Wallet, Guarda i Coinomi. Wszystko to było kompresowane i wysyłane na serwer atakującego. Złośliwe oprogramowanie następnie samo się usuwało.
Zobacz także:
- Setki namiotów w fabryce producenta pamięci. Chińczycy szykują się na kolejny lockdown
- Mercedes EQS - mniejsza średnica zawracania i większy skręt tylej osi na... abonament
- Unia Europejska wprowadza "blokady" samochodowe. Kierowcy nie będą zadowoleni
Pokaż / Dodaj komentarze do: Oglądasz poradniki kopania kryptowalut na YouTube? Możesz stracić wszystkie oszczędności