• Некоторые каналы YouTube со злым умыслом заставляют людей загружать вредоносное ПО PennyWise.
  • Архив поставляется в защищенном паролем ZIP-файле и содержит ссылку на обманчивую страницу VirusTotal.
  • Крадет все виды данных из системной информации, учетных данных для входа, крипто-кошельков и расширений крипто-браузера и удаляет все возможные следы.

Компания Cyble, занимающаяся мониторингом темной сети и киберпреступности, опубликовала сообщение в блоге, в котором сообщается, что обнаружена новая вредоносная программа с именем PennyWise, вероятно, по имени монстра из романа ужасов Стивена Кинга «Оно«. Вредоносная программа крадет  системную информацию, учетные данные для входа, крипто-кошельки и расширения крипто-браузера, а затем самоуничтожается.

Она маскируется под бесплатное программное обеспечение для майнинга биткойнов

Согласно Cyble, PennyWise был разработан недавно. Она маскируется под бесплатное программное обеспечение для майнинга биткойнов. Ее создатели публикуют на YouTube видеоролики со ссылками на скачивание вредоносного ПО. Ссылка для скачивания находится в описании видео. Когда пользователь нажимает на ссылку, он начинает загружать вредоносное ПО, размещенное на хостинге.

Файл вредоносного ПО заархивирован и защищен паролем. Злоумышленники также включают ссылку VirusTotal на чистый файл, не связанный с файлом, доступным для скачивания. Эти шаги предпринимаются для того, чтобы файл выглядел законным. Существует еще одна хитрость вредоносной программы PennyWise, которая заключается в том, чтобы заставить пользователей отключить их защиту от вредоносных программ, если при запуске вредоносного ПО возникают какие-либо проблемы. На данный момент на их канале YouTube более 80 видеороликов о распространении вредоносного ПО.

Вредоносная программа крадет данные из браузеров на базе Chromium и Mozilla. Она также крадет токены Discord и сеансы Telegram и по пути делает скриншоты. В основном она нацелена на холодные криптокошельки, такие как Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electreum, Atomic Wallet, Guarda и Coinomi.

Вредоносная программа также нацелена на криптографические расширения браузеров на базе Chromium для кражи данных. Что еще более интересно, вредоносная программа пытается определить местоположение жертвы с помощью класса CultureInfo и прекращает свою работу, если жертва находится за пределами следующих стран; Россия, Украина, Беларусь и Казахстан. После кражи данных с компьютера жертвы она сжимает данные в папке. Затем она удаляет папку и удаляет все следы.