Sicherheitsforscher haben kürzlich entdeckt, dass Cyberkriminelle YouTube missbrauchen, um eine potente Malware zu verbreiten, die in der Lage ist, alle Arten von Informationen von Ihrem Gerät zu stehlen. Laut einem Bericht von TechRadar haben Forscher aus Cyble Research Labs sind auf mehr als 80 Videos gestoßen, die alle „relativ wenige Zuschauer“ haben und zudem demselben Nutzer gehören.
Wie funktionieren diese Youtube Videos versuchen, die Opfer auszutricksen?
Laut dem Bericht zeigen diese YouTube-Videos, wie man eine bestimmte Bitcoin-Mining-Software bedient, um die Zuschauer davon zu überzeugen, sie herunterzuladen. Der Bericht erwähnt, dass die Download-Links in der Beschreibung des Videos zu finden sind, das sich in „einem passwortgeschützten Archiv befindet, um die Opfer von seiner Legitimität zu überzeugen“. Damit es realistischer aussieht, enthält das heruntergeladene Archiv außerdem einen Link zu VirusTotal der die Datei als „sauber“ anzeigt und die Benutzer warnt, dass „einige Antivirenprogramme möglicherweise eine Fehlalarmmeldung auslösen“, behauptet der Bericht.
Was ist PennyWise und wie wirkt es sich auf seine Opfer aus
Die Malware, die über die Youtube-Videos verbreitet wird, heißt PennyWise und kann alle Arten von Benutzerdaten stehlen, darunter Systeminformationen, Anmeldeinformationen, Cookies, Verschlüsselungsschlüssel und Master-Passwörter. Der Bericht besagt auch, dass diese Malware auch stehlen kann Zwietracht Token und Telegramm Sitzungen, während Sie unterwegs Screenshots machen.
Abgesehen davon kann PennyWise das Gerät auch nach „potenziellen Kryptowährungs-Wallets, Cold-Storage-Wallet-Daten und kryptobezogenen Browser-Add-Ons“ scannen. Die Malware sammelt alle oben genannten Daten, komprimiert sie in eine einzige Datei und sendet sie an einen Server unter der Kontrolle der Angreifer, bevor sie sich selbst zerstört, so der Bericht.
Wie PennyWise versucht, sich vor Benutzern zu verstecken
Der Bericht hat die Benutzer auch gewarnt, dass PennyWise in der Lage ist, seine Umgebung zu analysieren und sich ihrer bewusst zu sein, um sicherzustellen, dass es nicht „in einer geschützten Umgebung operiert“. Wenn die Malware feststellt, dass sie sich in einer Sandbox befindet oder ein Analysetool auf dem Gerät ausgeführt wird, stoppt sie sofort alle von ihr bereitgestellten Aktionen, so der Bericht.
Darüber hinaus haben die Forscher auch entdeckt, dass die Malware dazu neigt, alle ihre Operationen vollständig einzustellen, wenn sie herausfindet, dass sich der Endpunkt des Opfers entweder in Russland, der Ukraine, Weißrussland oder Kasachstan befindet. Der Bericht erwähnt auch, dass dieses Verhalten einen Hinweis auf die Zugehörigkeit der Betreiber bietet.
FacebookTwitterInstagramKOO-APPYOUTUBE