חברת מודיעין הסייבר, Cyble, אשר אוספת מידע על איומים אפשריים באינטרנט, דיווחה לפני שבוע כי היא עוקבת אחר תוכנה זדונית בשם PennyWise אשר תוקפת ארנקים דיגיטליים ותוספי קריפטו לדפדפנים.
התוכנה, שזוהתה לראשונה בחודש מאי האחרון, הופצה באמצעות סרטוני יוטיוב אשר הובילו את הצופים לקישור שלחיצה עליו גרמה להורדה שלה אל המחשב המותקף.
בין השאר התוכנה הזדונית טירגטה ארנקים דיגיטליים כמו אקסודוס (Exodus), אלקטרום (Electrum), ג'קס (Jaxx), קוינומי (Coinomi), ובנוסף Armory, Bytecoin, Atomic Wallet ו-Guarda. התוכנה טירגטה גם ארנקים התומכים באתריום (ETH) וזיקאש (ZEC).
איך התבצעה התקיפה?
תוכנת PennyWise הופצה באמצעות סרטוני יוטיוב המספקים הדרכה והסברים על כריית מטבעות דיגיטליים. בסרטונים הציעו לצופים להוריד תוכנה חינמית לכריית ביטקוין, שקישור אליה נמצא בתיאור הסרטון. בנוסף, הצופים התבקשו לבטל את פעולת תוכנת האנטיוירוס שלהם על מנת לאפשר את ההורדה ובכך כמובן איפשרו את פעולתה של התוכנה הזדונית ללא הפרעה.
לאחר שהתוכנה מותקנת במחשב המותקף, היא אוספת נתונים מדפדפני כרום ומוזילה (Mozilla), לרבות מידע על תוספי קריפטו לדפדפנים, פרטי כניסה לחשבונות משתמש וקבצים הקשורים לתפעול ארנקים דיגיטליים. התוכנה יכולה לצלם מסך ולהעתיק את תכתובות הצ'אט בטלגרם ובדיסקורד.
PennyWise תוכננה שלא להפעיל את עצמה במידה וגילתה כי המחשב המותקף נמצא ברוסיה, אוקראינה, בלרוס או קזאחסטן. ב-Cyble מצאו בנוסף כי התוכנה הופכת את אזור הזמן של המחשב המותקף לאזור הזמן הרוסי (RST או Russian Standard Time) כאשר היא שולחת את המידע שאספה לתוקפים.
היסטוריה של איומים
חברת Cyble ציינה כי לתוקפים היו לפחות 80 סרטונים בערוץ היוטיוב שלהם, נכון לסוף יוני. מאז שהערוץ זוהה הוא הוסר מיוטיוב. עם זאת, נראה כי קישורים דומים להורדת התוכנה הזדונית עדיין זמינים במספר ערוצי יוטיוב אחרים ובהם סרטונים שמבטיחים הנפקה חינם של NFTs (טוקנים יחודיים או Non Fungible Tokens), גישה חינם לספוטיפיי פרימיום, צ'יטים של משחקי מחשב ועוד.
בפברואר זוהתה תוכנה זדונית בשם Mars Stealer, אשר טירגטה ארנקים דיגיטליים הפועלים כתוסף לדפדפן, לרבות מטאמאסק (MetaMask), ארנק הרשת של בינאנס (Binance Chain Wallet) והארנק של קוינבייס (Coinbase Wallet).
בינואר דיווחה חברת Chainalysis כי תוקפים משתמשים בתוכנות זדוניות כדי לגנוב כספים באמצעות Cryptojacking, כלומר השתלטות על מחשב הקורבן כדי להשתמש במשאביו לכריית מטבעות דיגיטליים. נמצא כי סוג זה של תקיפה היווה 73% מכלל הכספים שהועברו לכתובות ארנקים הקשורות לתוכנות זדוניות בין השנים 2017 ל-2021.
