Un nuovo tipo di malware crypto si sta diffondendo tramite YouTube, inducendo gli utenti a scaricare un software progettato per rubare i dati da 30 wallet di criptovalute ed estensioni del browser.

Il 30 giugno, in un post sul proprio blog, la società di cyber intelligence Cyble ha dichiarato di aver monitorato il malware noto come "PennyWise" — che probabilmente prende il nome dal mostro del celebre romanzo horror "It" di Stephen King — da quando è stato identificato per la prima volta a maggio.

Il 30 giugno, Cyble ha scritto:

"Le nostre indagini indicano che il software è una minaccia emergente. Nella sua attuale versione, questo malware è in grado di attaccare oltre 30 browser e applicazioni crypto come cold wallet, estensioni per browser, ecc."

Il malware può rubare i dati del browser della vittima, nonché le sue informazioni di login; può persino scattare screenshot di chat su applicazioni come Discord e Telegram. Il malware prende di mira anche i cold wallet come Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda e Coinomi, cercando file relativi ai wallet nella directory e inviandone una copia agli hacker.

La società di cybersicurezza ha osservato che il malware si sta diffondendo su YouTube attraverso video educativi sul mining di Bitcoin. I criminali caricano i video invitando gli spettatori a visitare il link nella descrizione e a scaricare il software gratuito, incoraggiandoli anche a disabilitare il loro antivirus.

Cyble ha dichiarato che uno degli hacker presi in esame aveva ben 80 video sul proprio canale YouTube al 30 giugno; tuttavia, da allora il canale in questione è stato rimosso.

Una ricerca effettuata da Cointelegraph ha rilevato che link simili sono presenti su altri canali YouTube minori, con video che promettono NFT-mining gratuito, crack per software a pagamento, Spotify premium gratuito, oppure cheat per videogiochi. Molti di questi account sono stati creati nelle ultime 24 ore.

È interessante notare che il malware è progettato per bloccarsi se scopre che la vittima ha sede in Russia, Ucraina, Bielorussia e Kazakistan. Cyble ha anche scoperto che il malware converte i dati del fuso orario rubati alla vittima in Moscow Standard Time (MSK).

A febbraio è stato identificato un malware, denominato Mars Stealer, che prende di mira i wallet che funzionano come estensioni dei browser Chromium, come MetaMask, Binance Chain Wallet o Coinbase Wallet.

A gennaio Chainalysis ha avvertito che anche i "criminali informatici poco qualificati" stanno ora utilizzando il malware per sottrarre fondi agli HODLer di criptovalute. Il cryptojacking rappresenta il 73% del capitale totale ricevuto dagli indirizzi legati ai malware tra il 2017 e il 2021.