Uma empresa de cibersegurança chamada Cyble Research Lags descobriu recentemente que um grupo hacker está divulgando um software de mineração de bitcoin falso, utilizando um meio até então insuspeito para anexar um malware poderoso. O software criminoso foi batizado como PennyWise.
Segundo os especialistas, a ameaça foi detectada após terem sido encontrados mais de 80 vídeos, todos com poucos views, mas pertencentes a um único remetente. O conteúdo dos vídeos é um tutorial sobre o funcionamento de um software de mineração de bitcoin, que pode ser baixado gratuitamente pelos usuários através de um link na descrição.
O PennyWise, o que faz?
O PennyWise para enganar as vítimas é descrito como um software seguro e chega protegido por senha, para mais credibilidade. Quando baixado, o arquivo vem com um link para o serviço online de detecção de conteúdos maliciosos VirusTotal. O pacote faz um alerta de que alguns antivírus podem acionar, por engano, um alerta de falso positivo para vírus.
O PennyWise deflagra um pacote, que rouba informações do sistema, credenciais de logins, cookies, chaves de criptografia e senhas mestras. Ele copia sessões do Telegram, tokens do Discord e efetua prints de tela. Mas aparentemente o alvo do malware são potenciais carteiras de criptomoedas e dados de possíveis carteiras fora do blockchain.
O Penny após coletar todas as informações, as compacta em um único arquivo e envia tudo para um servidor controlado pelos invasores, e se autodestrói. O malware consegue interromper suas ações e ficar “quietinho” se perceber que alguma ferramenta de análise está em execução. Ele para de funcionar se descobre que o endpoint da vítima está localizado na Rússia, Ucrânia, Bielorrússia ou Cazaquistão.