A empresa de cibersegurança Cyble Research Lags descobriu recentemente que um grupo hacker está divulgando um software de mineração de bitcoin falso, utilizando um meio até então insuspeito para anexar um malware poderoso: vídeos do YouTube. O software criminoso foi batizado como PennyWise.
De acordo com os especialistas, a ameaça foi detectada depois de terem sido encontrados mais de 80 vídeos, todos com poucos views, mas pertencentes a um único remetente. O conteúdo comum dos vídeos é um tutorial sobre o funcionamento de um software de mineração de bitcoin, que pode ser baixado gratuitamente pelos usuários através de um link na descrição.
Fonte: Shutterstock/Reprodução.Fonte: Shutterstock
O que faz o malware PennyWise?
Para enganar as vítimas, o PennyWise é descrito como um software seguro e chega protegido por senha, para lhe conferir maior credibilidade. Quando baixado, o arquivo vem até om um link para o serviço online de detecção de conteúdos maliciosos VirusTotal. O pacote traz também um alerta de que alguns antivírus podem acionar, por engano, um alerta de falso positivo para vírus.
Da mesma forma que o sinistro palhaço do filme homônimo, o PennyWise deflagra um pacote de maldades: rouba informações do sistema, credenciais de logins, cookies, chaves de criptografia e senhas mestras. Ele também copia sessões do Telegram, tokens do Discord e faz prints de tela. Mas parece que o grande alvo do malware são potenciais carteiras de criptomoedas e dados de possíveis carteiras frias (fora do blockchain).
Após coletar todas as informações, o Penny as compacta em um único arquivo e envia tudo para um servidor controlado pelos invasores, e se autodestrói. Esse malware é capaz de interromper suas ações e ficar “quietinho” se perceber que alguma ferramenta de análise está em execução no dispositivo. Ele também para de funcionar se descobre que o endpoint da vítima está localizado na Rússia, Ucrânia, Bielorrússia ou Cazaquistão.
Fontes