Les cybercriminels ont commencé à s’appuyer sur YouTube pour diffuser de puissants logiciels malveillants (s’ouvre dans un nouvel onglet)les experts en sécurité ont découvert.
Des chercheurs de Cyble Research Labs sont récemment tombés sur plus de 80 vidéos, toutes avec relativement peu de téléspectateurs et appartenant toutes au même utilisateur. Les vidéos semblent montrer comment fonctionne un logiciel d’extraction de bitcoins, dans le but de persuader les téléspectateurs de le télécharger.
Le lien de téléchargement se trouve dans la description de la vidéo, et vient dans une archive protégée par mot de passe, pour convaincre les victimes de sa légitimité. Pour ajouter encore à l’effet, l’archive téléchargée est également accompagnée d’un lien vers VirusTotal, indiquant que le fichier est « propre » et un avertissement indiquant que certains programmes antivirus (s’ouvre dans un nouvel onglet) peut déclencher une alerte faussement positive.
Pas de faux positifs
Le logiciel malveillant lui-même, appelé PennyWise, vole toutes sortes de données, des informations système aux identifiants de connexion, aux cookies, aux clés de cryptage et aux mots de passe maîtres. Il vole également des jetons Discord et des sessions Telegram, et prend des captures d’écran en cours de route.
En outre, il analyse l’appareil à la recherche de portefeuilles de crypto-monnaie potentiels, de données de portefeuille de stockage à froid et de modules complémentaires de navigateur liés à la cryptographie.
Lorsqu’il collecte tout ce qui précède, il le compresse en un seul fichier et l’envoie à un serveur sous le contrôle des attaquants. Il s’autodétruit ensuite.
PennyWise est également capable d’analyser son environnement et de s’assurer qu’il ne fonctionne pas dans un environnement défendu. S’il découvre qu’il se trouve dans un bac à sable ou qu’un outil d’analyse est en cours d’exécution sur l’appareil, il arrête immédiatement toutes les actions.
Les chercheurs ont découvert que le logiciel malveillant arrêterait complètement toutes les opérations s’il découvrait que le terminal de la victime se trouvait en Russie, en Ukraine, en Biélorussie ou au Kazakhstan, offrant des indices sur l’affiliation des opérateurs.
Via TechRepublic (s’ouvre dans un nouvel onglet)