La società di cybersicurezza Cyble ha individuato un nuovo malware in grado di diffondersi attraverso YouTube, il software viene diffuso grazie ad un video che spinge a scaricare il programma da un link in descrizione il cui scopo ultimo è però quello di sottrarre informazioni e fondi dai wallet di criptovalute.
PennyWise, questo è il nome del malware identificato la prima volta a Maggio e che nella sua nuova versione è in grado di prendere di mira oltre 30 wallet diversi tra cui anche le estensioni web in grado di gestirli.
Nel dettaglio il malware va a prendere di mira i files sotto i 20KB di dimensioni e con estensione rtf, doc, docx, txt e json che, vengono copiati e salvati in una cartella definita “Grabber”, come se non bastasse, oltre a ciò, prende di mira le sessioni di browser come Chrome e Mozilla, incluse estensioni e informazioni di accesso, a cui va aggiunta anche la capacità di generare screenshot e rubare sessioni di applicazioni di messaggistica e comunicazione come Telegram e Discord.
YouTube come vettore
Nel dettaglio il malware prende di mira anche i cold wallet: Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda e Coinomi, e i portafogli che supportano Zcash ed Ethereum andando a cercare i file del wallet nella directory e inviando una copia del file agli aggressori.
Un dettaglio interessante però riguarda il fatto che il malware è programmato per sospendere la sua attività se scopre che la vittima ha sede in Russia, Ucraina, Bielorussia e Kazakistan.
Il malware si diffonde sfruttando un video su YouTube che spiega come approntare operazioni di mining di criptovalute, inducendo a scaricarlo facendolo passare come un software per il mining di Bitcoin.