Киберпреступники начали использовать YouTube как средство распространения мощного вредоносного ПО. (откроется в новой вкладке)обнаружили эксперты по безопасности.
Исследователи из Cyble Research Labs недавно наткнулись на более чем 80 видеороликов, у всех относительно небольшое количество зрителей, и все они принадлежат одному и тому же пользователю. Видео, кажется, демонстрирует, как работает часть программного обеспечения для майнинга биткойнов, пытаясь убедить зрителей загрузить его.
Ссылка для скачивания находится в описании видео и находится в защищенном паролем архиве, чтобы убедить жертв в его легитимности. Чтобы еще больше усилить эффект, скачанный архив также содержит ссылку на VirusTotal, показывающую файл как «чистый», и предупреждение о том, что некоторые антивирусные программы (откроется в новой вкладке) может вызвать ложное срабатывание предупреждения.
Нет ложных срабатываний
Сама вредоносная программа под названием PennyWise крадет все виды данных, от системной информации до учетных данных для входа, файлов cookie, ключей шифрования и мастер-паролей. Он также крадет токены Discord и сеансы Telegram и попутно делает скриншоты.
Кроме того, он сканирует устройство на наличие потенциальных криптовалютных кошельков, данных холодного хранилища и надстроек браузера, связанных с криптовалютой.
Когда он собирает все вышеперечисленное, он сжимает его в один файл и отправляет на сервер, находящийся под контролем злоумышленников. Затем он самоуничтожается.
PennyWise также может анализировать свое окружение и следить за тем, чтобы он не работал в защищенной среде. Если он обнаружит, что находится в песочнице или что на устройстве запущен инструмент анализа, он немедленно прекратит все действия.
Исследователи обнаружили, что вредоносное ПО полностью остановит все операции, если обнаружит, что конечная точка жертвы находится в России, Украине, Беларуси или Казахстане, что дает некоторую подсказку относительно принадлежности операторов.
С помощью TechRepublic (откроется в новой вкладке)