https://images.cointelegraph.com/images/528_aHR0cHM6Ly9zMy5jb2ludGVsZWdyYXBoLmNvbS91cGxvYWRzLzIwMjItMDcvODA1MzcyMzItMWM3NS00MzMyLWFiOWQtN2I0MWE0NDVhOTVhLmpwZw==.jpg
image

Una nueva cepa de malware de criptomonedas se está propagando a través de YouTube, engañando a los usuarios para que descarguen un software diseñado para robar datos de 30 criptomonederos y extensiones de navegadores.

La empresa de inteligencia cibernética Cyble, en una publicación de su blog del 30 de junio, dijo que había estado siguiendo el malware conocido como “PennyWise” -probablemente llamado así por el monstruo de la novela de terror “It” de Stephen King- desde que fue identificado por primera vez en mayo.

“Nuestra investigación indica que el ladrón es una amenaza emergente”, escribió Cyble en un post de su blog el 30 de junio.

“En su iteración actual, este ladrón puede dirigirse a más de 30 navegadores y aplicaciones de criptomonedas, como monederos de criptomonedas fuera de línea, extensiones de navegadores de criptomonedas, etc.”

Los datos robados del sistema de la víctima vienen en forma de información de los navegadores Chromium y Mozilla, incluyendo los datos de las extensiones de criptomonedas y los datos de inicio de sesión. También puede tomar capturas de pantalla y robar sesiones de aplicaciones de chat como Discord y Telegram.

El malware también se dirige a los monederos fuera de línea como Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Guarda y Coinomi, así como a monederos que soportan Zcash y Ethereum, buscando archivos de monederos en el directorio y enviando una copia de los archivos a los atacantes, según Cyble.

La empresa de ciberseguridad señaló que el malware se está propagando en vídeos educativos de minería de YouTube que pretenden ser un software gratuito de minería de Bitcoin.

Los ciberdelincuentes, o “Actores de la Amenaza”, suben los vídeos indicando a los espectadores que visiten el enlace de la descripción y descarguen el software gratuito, al tiempo que les animan también a desactivar su software antivirus, lo que permite que el malware se ejecute con éxito.

Cyble dijo que el atacante tenía hasta 80 vídeos en su canal de YouTube hasta el 30 de junio, sin embargo, el canal identificado ha sido eliminado desde entonces.

Una búsqueda realizada por Cointelegraph descubrió que siguen existiendo enlaces similares al malware en otros canales más pequeños de YouTube; hay vídeos en los que se promete la minería gratuita de NFT, cracks para software de pago, Spotify premium gratuito, trampas para juegos y mods.

Muchas de estas cuentas se han creado en las últimas 24 horas.

Curiosamente, el malware está diseñado para detenerse a sí mismo si descubre que la víctima está basada en Rusia, Ucrania, Bielorrusia y Kazajistán. Cyble también descubrió que el malware convierte los datos de la zona horaria robada de la víctima a la hora estándar rusa (RST) cuando los datos se envían de vuelta a los atacantes.

En febrero, se identificó un malware llamado Mars Stealer que tenía como objetivo los monederos de criptomonedas que funcionan como extensiones del navegador Chromium, como MetaMask, Binance Chain Wallet o Coinbase Wallet.

Chainalysis advirtió en enero que incluso los “ciberdelincuentes poco cualificados” están utilizando el malware para robar fondos de criptomonederos, y el criptojacking representa el 73% del valor total recibido por las direcciones relacionadas con el malware entre 2017 y 2021.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión

Sigue leyendo:

Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.