Un nuovo ceppo di cripto-malware viene diffuso tramite YouTube, inducendo gli utenti a scaricare un software progettato per rubare dati dai wallet e estensioni del browser. In questo caso stiamo parlando di PennyWise. Nella sua versione attuale, può prendere di mira oltre 30 browser per attaccare wallet provati ed estensioni di criptovalute. Può anche acquisire schermate e rubare sessioni di applicazioni di chat come Discord e Telegram.
Il malware prende di mira anche portafogli come Armory, Bytecoin, Jaxx, Exodus, Electrum, Atomic Wallet, Coinomi, nonché portafogli che supportano Zcash (ZEC) ed Ether (ETH) cercando i file del portafoglio nella directory e inviando una copia dei file agli aggressori.
Normalmente il malware viene diffuso su video di formazione sull minig di criptovalute su YouTube, spacciandosi per un software gratuito per l'estrazione di Bitcoin. Gli utenti che guardano il video vengono invogliati a visitare il collegamento nella descrizione e di scaricare il software gratuito, incoraggiandoli anche a disabilitare il loro software antivirus che consente al malware di funzionare correttamente.
Tendenzialmente questi tipi di video compaiono su canali YouTube più piccoli. Molti di questi account sono stati creati solo nelle ultime 24 ore.
È interessante notare che il malware è progettato per fermarsi se scopre che la vittima ha sede in Russia, Ucraina, Bielorussia e Kazakistan.
A febbraio, un altro malware chiamato Mars Stealer è stato identificato come bersaglio di portafogli crittografici che funzionano come estensioni del browser Chromium come MetaMask, Binance Chain Wallet o Coinbase Wallet.