Cyberkriminelle haben eine neue Bedrohung für Kryptowährungen entwickelt die PennyWise-Malware. Die Sicherheitsforscher von Cyble Research Labs warnen davor, dass diese Malware darauf ausgelegt ist, Daten aus 30 Krypto-Wallets und Krypto-Browser-Erweiterungen zu stehlen. Die Betrüger verbreiten die PennyWise-Malware über YouTube, indem sie sie als kostenlose Bitcoin-Mining-Software tarnen. Cyble Research Labs hat auf weiterhin als 80 YouTube-Videos hingewiesen die denselben Benutzer zurückverfolgen.
Wie funktioniert die PennyWise-Malware?
Wenn Nutzer den Download-Link in den YouTube-Videos anklicken führt dies zu einem passwortgeschützten gezippten Archiv. Um seine Legitimität zu beweisen · enthält das heruntergeladene Archiv einen Link zu VirusTotal · der die Datei als sauber anzeigt. Jedoch hat diese als sauber eingestufte Datei nichts mit der Malware-Datei zu tun die heruntergeladen wird. Betrüger wollen nur dazu verleiten, das Antivirenprogramm für eine erfolgreiche Malware-Ausführung zu deaktivieren.
Cyble Research Labs hat herausgefunden. Dass PennyWise Screenshots macht und Sitzungen von Chat-Plattformen, ebenso wie Telegram und Discord, stiehlt. Die Malware scannt das Gerät nach potenziellen Kryptowährungs-Wallets, Cold-Storage-Wallet-Daten und kryptobezogenen Browser-Add-Ons. PennyWise ist darauf ausgelegt, Daten aus 30 Krypto-Wallets und Krypto-Browser-Erweiterungen zu stehlen. Wenn PennyWise alle Informationen gesammelt hat komprimiert die Malware diese in eine einzige Datei und sendet sie an einen Server unter der Kontrolle der Angreifer.
PennyWise-Malware erkennt Sandbox und Umgebung
PennyWise ist ebenfalls in der Lage die Umgebung zu analysieren. Wenn die Malware feststellt · dass sie sich in einer Sandbox befindet oder dass ein Analysetool auf dem Gerät ausgeführt wird · stoppt sie sofort alle Aktionen. Die Forscher von Cyble Research Labs haben entdeckt, dass die Malware alle Operationen gleichfalls stoppt, wenn sie feststellt, dass sich der Endpunkt des Opfers entweder in Russland der Ukraine, Weißrussland oder Kasachstan befindet. Die Täter versuchen dadurch, eine Überprüfung durch die Strafverfolgungsbehörden in diesen bestimmten Ländern zu vermeiden.
Sicherheits-Empfehlungen von Cyble Research Labs
Cyble Research Labs rät dazu, raubkopierte Software von nicht verifizierten Seiten zu vermeiden und starke Passwörter zu verwenden. Es sollen nur vertrauenswürdige Links und E-Mail-Anhänge geöffnet werden, anschließend ihre Authentizität überprüft wurde. Unternehmen sollen URLs blockieren welche zur Verbreitung der Malware dienen könnten und das Beacon auf Netzwerkebene überwachen um die Datenexfiltration durch Malware oder Täter zu blockieren. Es sollen auch Data Loss Prevention (DLP)-Lösungen auf den Systemen der Mitarbeiter aktiviert werden.
Kommentare
PennyWise-Malware ist eine neue Bedrohung für Kryptowährungen. Die Betrüger verbreiten die Malware über YouTube, indem sie sie als kostenlose Bitcoin-Mining-Software tarnen. Cyble Research Labs warnt davor, dass Nutzer aufpassen müssen um nicht der Malware zum Opfer zu fallen. Unternehmen sollten ihre Systeme mit DLP-Lösungen schützen und vertrauenswürdige Links und E-Mail-Anhänge nur öffnen, anschließend ihre Authentizität überprüft wurde.