Une nouvelle souche de malware crypto se propage via YouTube, incitant les utilisateurs à télécharger un logiciel conçu pour voler les données de 30 portefeuilles crypto et extensions de navigateur crypto.

Dans un article de blog publié le 30 juin, la société de cyberintelligence Cyble a déclaré qu'elle traquait le malware connu sous le nom de PennyWise - probablement nommé d'après le monstre du roman d'horreur It de Stephen King - depuis sa première identification en mai.

« Notre enquête indique que le voleur est une menace émergente », écrit Cyble dans un article de blog en date du 30 juin :

« Dans son itération actuelle, ce voleur peut cibler plus de 30 navigateurs et applications de cryptomonnaies telles que les portefeuilles crypto froids, les extensions de navigateur crypto, etc. »

Les données volées sur le système de la victime se présentent sous la forme d'informations sur les navigateurs Chromium et Mozilla, y compris les données des extensions de cryptomonnaies et les données de connexion. Il peut également prendre des captures d'écran et voler des sessions d'applications de chat telles que Discord et Telegram.

Le malware cible également les portefeuilles crypto froids tels que Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda et Coinomi, ainsi que les portefeuilles prenant en charge Zcash (ZEC) et l'ether (ETH) en recherchant les fichiers de portefeuille dans le répertoire et en envoyant une copie des fichiers aux pirates, selon Cyble.

La société de cybersécurité a noté que le malware est diffusé sur des vidéos YouTube d'éducation en mining prétendant être un logiciel gratuit de mining de bitcoin.

Les cybercriminels, ou « acteurs de la menace », téléchargent les vidéos en demandant aux spectateurs de cliquer sur le lien dans la description et de télécharger le logiciel gratuit tout en les encourageant par ailleurs à désactiver leur logiciel antivirus, ce qui permet au logiciel malveillant de fonctionner parfaitement.

Selon Cyble, l'auteur de l'attaque avait jusqu'à 80 vidéos sur sa chaîne YouTube au 30 juin. Toutefois, la chaîne, identifiée, a depuis été supprimée.

Une recherche effectuée par Cointelegraph a permis de constater que des liens similaires vers le logiciel malveillant subsistent sur d'autres chaînes YouTube plus petites, avec des vidéos promettant le mining gratuit de tokens non fongibles (NFT), des cracks pour des logiciels payants, un compte Spotify premium gratuit, des cheatcodes de jeux.

Beaucoup de ces comptes n'ont été créés qu'au cours des dernières 24 heures.

À lire également : Logiciel malveillant de vol de bitcoins : un rappel amer aux utilisateurs de cryptomonnaies pour qu'ils restent vigilants

Il est intéressant de noter que le malware est conçu pour s'arrêter s'il découvre que la victime est basée en Russie, en Ukraine, au Belarus et au Kazakhstan. Cyble a également constaté que le malware convertit les données volées du fuseau horaire de la victime en heure standard de Moscou (MSK) lorsque les données sont renvoyées aux pirates.

En février, un malware nommé Mars Stealer a été identifié comme ciblant les portefeuilles crypto qui fonctionnent comme des extensions de navigateur Chromium, tels que MetaMask, Binance Chain Wallet ou Coinbase Wallet.

Chainalysis a averti en janvier que même les « cybercriminels peu qualifiés »  utilisent désormais des logiciels malveillants pour prendre les fonds des hodlers de cryptomonnaies, le cryptojacking représentant 73 % de la valeur totale reçue par les adresses liées aux logiciels malveillants entre 2017 et 2021.