Una nueva cepa de cripto-malware se está propagando a través de YouTube, engañando a los usuarios para que descarguen un software diseñado para robar datos de 30 cripto-monederos y extensiones de cripto-navegadores.

La empresa de inteligencia cibernética Cyble, en una publicación del blog del 30 de junio, dijo que había estado siguiendo el malware conocido como PennyWise – probablemente llamado así por el monstruo de la novela de terror It de Stephen King – desde que fue identificado por primera vez en mayo.

«Nuestra investigación indica que el ladrón es una amenaza emergente», escribió Cyble en su blog el 30 de junio:

«En su iteración actual, este ladrón puede dirigirse a más de 30 navegadores y aplicaciones de criptomonedas, como monederos fríos de criptomonedas, extensiones de navegadores de criptomonedas, etc.».

Los datos robados del sistema de la víctima vienen en forma de información de los navegadores Chromium y Mozilla, incluyendo los datos de las extensiones de criptodivisas y los datos de inicio de sesión. También puede tomar capturas de pantalla y robar sesiones de aplicaciones de chat como Discord y Telegram.

El malware también se dirige a las criptocarteras frías como Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda y Coinomi, así como a las carteras que soportan Zcash (ZEC) y Ether (ETH), buscando archivos de cartera en el directorio y enviando una copia de los archivos a los atacantes, según Cyble.

La empresa de ciberseguridad señaló que el malware se está difundiendo en vídeos educativos de minería de YouTube que pretenden ser un software gratuito de minería de Bitcoin.

Los ciberdelincuentes, o » Threat Actors», suben los vídeos indicando a los espectadores que visiten el enlace de la descripción y descarguen el software gratuito, al tiempo que les animan también a desactivar su software antivirus, lo que permite que el malware se ejecute con éxito.

Cyble dijo que el atacante tenía hasta 80 vídeos en su canal de YouTube hasta el 30 de junio. Sin embargo, el canal identificado ha sido eliminado desde entonces.

Una búsqueda realizada por Cointelegraph descubrió que siguen existiendo enlaces similares al malware en otros canales de YouTube más pequeños, con vídeos en los que se promete el minado gratuito de tokens no fungibles (NFT), cracks para software de pago, Spotify premium gratuito, trampas para juegos y mods.

Muchas de estas cuentas se han creado en las últimas 24 horas.

Curiosamente, el malware está diseñado para detenerse a sí mismo si descubre que la víctima está basada en Rusia, Ucrania, Bielorrusia y Kazajistán. Cyble también descubrió que el malware convierte los datos de la zona horaria robada de la víctima a la hora estándar de Moscú (MSK) cuando los datos se envían a los atacantes.

En febrero, se identificó un malware llamado Mars Stealer que tenía como objetivo los monederos de criptomonedas que funcionan como extensiones del navegador Chromium, como MetaMask, Binance Chain Wallet o Coinbase Wallet.

Chainalysis advirtió en enero que incluso los «ciberdelincuentes poco cualificados» están utilizando ahora el malware para tomar los fondos de los cripto monederos, y que el criptojacking representa el 73% del valor total recibido por las direcciones relacionadas con el malware entre 2017 y 2021.