มัลแวร์ Crypto สายพันธุ์ใหม่กำลังแพร่กระจายผ่าน YouTube หลอกให้ผู้ใช้ดาวน์โหลดซอฟต์แวร์ที่ออกแบบมาเพื่อขโมยข้อมูลจาก Crypto Wallet 30 Wallet และส่วนขยายเบราว์เซอร์ Crypto
Cyble บริษัทข่าวกรองทางไซเบอร์ในบล็อกโพสต์เมื่อวันที่ 30 มิถุนายน กล่าวว่าได้ติดตามมัลแวร์ที่รู้จักกันในชื่อ “PennyWise” ซึ่งน่าจะตั้งชื่อตามสัตว์ประหลาดในนวนิยายสยองขวัญเรื่อง “It” ของ Stephen King นับตั้งแต่ถูกระบุครั้งแรกในเดือนพฤษภาคม
“การสอบสวนของเราระบุว่าผู้ขโมยเป็นภัยคุกคามที่กำลังเกิดขึ้น” Cyble เขียนในบล็อกโพสต์เมื่อวันที่ 30 มิถุนายน
“ในการทำซ้ำในปัจจุบัน ผู้ขโมยนี้สามารถกำหนดเป้าหมายเบราว์เซอร์มากกว่า 30 ตัวและแอปพลิเคชั่นสกุลเงินดิจิทัล เช่น crypto wallet ที่ไม่ได้เชื่อมต่อกับเครือข่ายและส่วนขยายของเบราว์เซอร์Crypto ฯลฯ”
ข้อมูลที่ถูกขโมยจากระบบของเหยื่อมาในรูปแบบของข้อมูลเบราว์เซอร์ Chromium และ Mozilla รวมถึงข้อมูลส่วนขยายของสกุลเงินดิจิทัลและข้อมูลการเข้าสู่ระบบ นอกจากนี้ยังสามารถจับภาพหน้าจอและขโมยเซสชันของแอปพลิเคชันแชท เช่น Discord และ Telegram
มัลแวร์ยังกำหนดเป้าหมายไปยัง crypto wallet เช่น Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda และ Coinomi รวมถึง Wallet ที่รองรับ Zcash และ Ethereum โดยค้นหาไฟล์ wallet ใน directory และส่งสำเนาของ ไฟล์ไปยังแฮ็กเกอร์ตาม Cyble
บริษัทรักษาความปลอดภัยทางไซเบอร์ระบุว่ามัลแวร์กำลังแพร่กระจายบนวิดีโอการศึกษาการขุดบน YouTube โดยอ้างว่าเป็นซอฟต์แวร์ขุด Bitcoin ฟรี
อาชญากรไซเบอร์หรือ “ผู้คุกคาม” อัปโหลดวิดีโอที่แนะนำให้ผู้ชมไปที่ลิงก์ในคำอธิบายและดาวน์โหลดซอฟต์แวร์ฟรี ขณะเดียวกันก็สนับสนุนให้พวกเขาปิดการใช้งานซอฟต์แวร์ป้องกันไวรัส ซึ่งช่วยให้มัลแวร์ทำงานได้อย่างประสบความสำเร็จ
Cyble กล่าวว่าแฮ็กเกอร์มีวิดีโอมากถึง 80 รายการในช่อง YouTube ของพวกเขา ณ วันที่ 30 มิถุนายน อย่างไรก็ตาม ช่องที่ระบุได้ถูกลบไปแล้ว
การค้นหาโดย Cointelegraph พบลิงก์ที่คล้ายกันกับมัลแวร์ยังคงอยู่ในช่อง YouTube ขนาดเล็กอื่น ๆ โดยมีวิดีโอที่สัญญาว่าจะขุด NFT ฟรี รอยแตกสำหรับซอฟต์แวร์ที่ต้องชำระเงิน Spotify พรีเมียมฟรี กลโกงเกมและม็อด
บัญชีเหล่านี้จำนวนมากถูกสร้างขึ้นภายใน 24 ชั่วโมงที่ผ่านมาเท่านั้น
ที่น่าสนใจคือมัลแวร์ถูกออกแบบมาเพื่อหยุดตัวเองหากพบว่าเหยื่ออยู่ในรัสเซีย ยูเครน เบลารุส และคาซัคสถาน Cyble ยังพบว่ามัลแวร์แปลงข้อมูลเขตเวลาที่ถูกขโมยของเหยื่อเป็นเวลามาตรฐานรัสเซีย (RST) เมื่อข้อมูลถูกส่งกลับไปยังแฮ็กเกอร์
ในเดือนกุมภาพันธ์ มัลแวร์ชื่อ Mars Stealer ถูกระบุว่ากำหนดเป้าหมายไปยังกระเป๋าเงินดิจิทัลที่ทำงานเป็นส่วนขยายของเบราว์เซอร์ Chromium เช่น MetaMask, Binance Chain Wallet หรือ Coinbase Wallet
Chainalysis เตือนในเดือนมกราคมว่า แม้แต่ “อาชญากรไซเบอร์ที่มีทักษะต่ำ” กำลังใช้มัลแวร์เพื่อรับเงินจากผู้ถือครอง crypto โดย cryptojacking คิดเป็น 73% ของมูลค่าทั้งหมดที่ได้รับจากที่อยู่ที่เกี่ยวข้องกับมัลแวร์ระหว่างปี 2017 ถึง 2021
ที่มา : cointelegraph
