Badacze z Cyble Research Labs poinformowali o nowym szkodliwym oprogramowaniu, które może zagrażać osobom interesującym się inwestowaniem w kryptowaluty. Malware PennyWise może wykradać dane portfeli kryptowalutowych, oraz dane z ponad trzydziestu różnych przeglądarek internetowych opartych na Chromium i Mozilla.
Sposób rozprzestrzeniania malware
Malware PennyWise jest szczególnie niebezpieczne ze względu na to, że rozprzestrzenia się w niecodzienny sposób. Dzieje się to bowiem poprzez kampanie na YouTube. Do tego celu cyberprzestępcy wykorzystują przejęte konta, a link do pobrania malware zazwyczaj znajduje się w opisie filmu. Hakerzy rozpowszechniają PennyWise jako oprogramowanie do wydobywania bitcoinów, więc to głównie użytkownicy zainteresowani tym tematem będą głównym celem kampanii.
Kanał, z którego rozpoczęło się rozprzestrzenianie malware, zanim został usunięty, zawierał ponad 80 filmów instruktażowych, dotyczących kryptowalut, czy darmowego software’u do wydobywania bitcoinów. Linki do złośliwego oprogramowania znaleziono także na innych kanałach, pod innymi filmami, np. samouczkami dotyczącymi pobierania cracków oprogramowania i gier.
Pobrany plik ma postać spakowaną i zabezpieczoną hasłem. Dodatkowo możemy przeczytać o „możliwej” konieczności wyłączenia antywirusa, a także sprawdzić załączony link do VirusTotal (który pokazuje wyniki dla czystego pliku, nie malware).
Działanie malware PennyWise
PennyWise ma na celu głównie pozyskiwanie danych z przeglądarek internetowych opartych na Chromium, Mozilli, ale również z Microsoft Edge. Oprogramowanie uzyskuje ścieżkę przeglądarki, następnie dane logowania, język systemu oraz strefę czasową z systemu operacyjnego ofiary. Co ciekawe, jeśli malware wykryje, że znajdujemy się w Rosji, Ukrainie, Białorusi czy Kazachstanie, automatycznie zatrzyma swoje działanie. Cyble odkrył także, że przy odsyłaniu danych, skradzione dane strefy czasowej są przez złośliwe oprogramowanie konwertowane na czas moskiewski.
PennyWise w celu poprawy wydajności działa w systemie wielowątkowym. Oznacza to tyle, że każdy pojedynczy wątek odpowiada za wykonanie innej, konkretnej operacji. I tak jego głównym wątkiem i celem jest kradzież portfeli kryptograficznych, m.in. Zcash, Ether, Armoury czy Jaxx. Oprócz tego malware swoje działania skupia na kradzieży plików, zbieraniu danych przeglądarki, wykonywaniu zrzutów ekranu, czy przechwytywaniu logów z aplikacji czatowych takich jak Discord czy Telegram.
Jak chronić się przed cryptomalware?
Ze względu na wszechstronność oprogramowania, a także jego stosunkowo niedawne pojawienie się, analitycy podejrzewają, że w przyszłości będą pojawiały się coraz nowsze warianty PennyWise. Opisywane malware nie jest z resztą jedynym niedawno odkrytym oprogramowaniem służącym do przechwytywania zasobów cyfrowych. Początkiem 2022 roku odkryto, że jedna z rozpowszechnionych pirackich kopii przeboju Marvela „Spider-Man: No Way Home” dystrybuuje Crypto-minning malware. (pisaliśmy o tym tutaj)
Najlepszym sposobem na zabezpieczenie się przed takimi zagrożeniami to po prostu unikanie pobierania pirackiego oprogramowania. W szczególności powinniśmy unikać stron niewiadomego pochodzenia. Oczywiście bardzo ważne jest także, aby nie otwierać podejrzanych linków, czy załączników.
Redaktorka Net Complex Blog
