Siber suçlular, güçlü kötü amaçlı yazılımları dağıtmak için YouTube’a güvenmeye başladı (yeni sekmede açılır)güvenlik uzmanları keşfetti.
Cyble Research Labs’den araştırmacılar, kısa süre önce, tümü nispeten az sayıda izleyiciye sahip ve tümü aynı kullanıcıya ait olan 80’den fazla videoya rastladı. Videolar, izleyicileri indirmeye ikna etmek amacıyla bir bitcoin madenciliği yazılımının nasıl çalıştığını gösteriyor gibi görünüyor.
İndirme bağlantısı videonun açıklamasında bulunur ve kurbanları meşruluğuna ikna etmek için parola korumalı bir arşivde gelir. Efekti daha da artırmak için indirilen arşiv, dosyayı “temiz” olarak gösteren bir VirusTotal bağlantısı ve bazı virüsten koruma programlarının (yeni sekmede açılır) yanlış bir pozitif uyarıyı tetikleyebilir.
Yanlış pozitif yok
PennyWise adlı kötü amaçlı yazılımın kendisi, sistem bilgilerinden oturum açma kimlik bilgilerine, tanımlama bilgilerine, şifreleme anahtarlarına ve ana parolalara kadar her türlü veriyi çalar. Ayrıca Discord belirteçlerini ve Telegram oturumlarını çalar ve yol boyunca ekran görüntüleri alır.
Ayrıca, cihazı potansiyel kripto para cüzdanları, soğuk depo cüzdan verileri ve kripto ile ilgili tarayıcı eklentileri için tarar.
Yukarıdakilerin hepsini toplayınca tek bir dosyaya sıkıştırır ve saldırganların kontrolündeki bir sunucuya gönderir. Daha sonra kendi kendini imha eder.
PennyWise ayrıca çevresini analiz etme ve savunulan bir ortamda çalışmadığından emin olma yeteneğine de sahiptir. Bir sanal alanda olduğunu veya cihazda bir analiz aracının çalıştığını keşfederse, tüm eylemleri hemen durduracaktır.
Araştırmacılar, kötü amaçlı yazılımın, kurbanın uç noktasının Rusya, Ukrayna, Beyaz Rusya veya Kazakistan’da bulunduğunu keşfederse tüm operasyonları tamamen durduracağını keşfetti ve operatörlerin bağlantısı hakkında bazı ipuçları verdi.
Aracılığıyla TechCumhuriyet (yeni sekmede açılır)
