YouTube account? Crypto malware PennyWise verspreidt zich razendsnel

Crypto gebruikers met een YouTube account zijn gewaarschuwd. Op dit moment is er sprake van PennyWise malware. Het neemt browser extensies en inloggegevens over.

Malware dat crypto steelt

PennyWise is malware dat cryptocurrencies steelt van YouTube account-houders. Het gaat dan voornamelijk om Zcash en Ethereum wallets. Ook Atomic Wallet, Electrum en Coinomi zijn het doelwit. 

De malware verspreidt zich razendsnel over het social media platform. Het is in staat om je browser extensies en inloggegevens over te nemen. Daarnaast krijgt het toegang tot je chat logs. 

Gratis mining software downloaden

Gebruikers die in aanraking komen met de malware worden gevraagd om software te downloaden. Zodra dit is gebeurt worden de gegevens van wallets en crypto extensies gestolen.

De software is zo ontwikkelt dat dit mogelijk is bij 30 verschillende wallets. Cyble ontdekt de malware voor het eerst in mei. Het cyber intelligence bedrijf maakt dit op 30 juni bekend in een blogpost.

De malware is vernoemd naar de horror clown uit de “IT” films van de bekende schrijver Stephen King. In de blog van vorige week laat Cyble het volgende weten:

"Uit onderzoek blijkt dat deze stealer malware een opkomende bedreiging is. In deze vorm kan het zich op meer dan 30 browsers en cryptocurrency applicaties richten. Zoals cold crypto wallets en crypto browser extensies."

Verpakt als Chrome en Mozilla informatie

De gestolen gegevens komen in de vorm van Chrome en Mozilla browser informatie. Waaronder gegevens over cryptocurrency extensies en inloggegevens. 

De PennyWise malware kan ook screenshots maken en verschillende chat sessies stelen. Bijvoorbeeld van de bekende applicaties zoals Discord en Telegram.

Onder andere Zcash en Ethereum wallets

De malware richt zich ook op cold crypto wallets. Zoals Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda, Bytecoin en Coinomi. Ook wallets die Zcash en Ethereum ondersteunen ontspringen de dans niet. 

De software zoekt naar wallet bestanden in de directory. Een kopie van deze bestanden wordt vervolgens naar de aanvallers en de verspreiders van de malware gestuurd. 

Pas op met informatieve mining video's

Het cyber bedrijf zegt dat de malware zich op YouTube vooral bevindt in informatieve video content over mining. Gebruikers worden tot downloaden verleidt door te vermelden dat het om gratis Bitcoin mining software gaat.

De cybercriminelen uploaden video's waarin ze kijkers instrueren om de link in de beschrijving en de gratis software te downloaden. Daarbij merken ze op dat de antivirussoftware uitgeschakeld moet worden. 

Daardoor kan de malware dus succesvol worden geïnstalleerd. Cyble zegt dat het YouTube kanaal van de criminelen op 30 juni zeker 80 video’s bevat. 

Kanaal verwijderd maar malware blijft actief

Het geïdentificeerde kanaal is sindsdien verwijderd. Dat betekent echter niet dat de malware en de video’s geheel van YouTube zijn verdwenen. Ze zijn nog altijd te vinden op de kleinere kanalen. 

Daar worden video’s aangeboden die gratis NFT-mining, cracks voor betaalde software en gratis Spotify premium aanbieden. Evenals game cheats en mods.

Connectie met Rusland?

De aanmaakdatums van deze YouTube accounts zijn zeer recent. De PennyWise software stopt zichzelf als het slachtoffer zich in Oekraïne, Kazachstan of Rusland bevindt. 

En dat is even merkwaardig als interessant. Ook laat Cyble weten dat de gestolen tijdzone gegevens worden geconverteerd naar de Russian Standard Time. Dat gebeurt als de gegevens worden verstuurd naar de criminelen. 

Mars Stealer

Eerder dit jaar werd er ook al een soortgelijke malware geïdentificeerd met de naam Mars Stealer. Deze richtte zich vooral op MetaMask Coinbase Wallet en Bianca Chain Wallet. 

Toen al werd er gewaarschuwd dat het gebruik van deze malware geen specifieke kennis vereiste. Zelfs leken kunnen de malware gebruiken om crypto wallets leeg te roven. 

Crypto jacking omslaat 73% van de totale waarde die de malware adressen in de afgelopen 5 jaar hebben ontvangen.