Atención: ¡PennyWise acecha en YouTube y amenaza tus criptomonederos y navegadores!

Un nuevo malware llamado PennyWise ha aparecido recientemente y ha sido expuesto por Cyble Research Labs. Los investigadores han observado múltiples muestras del malware en la naturaleza, lo que lo convierte en una amenaza activa. El malware se centra en robar datos sensibles del navegador y billeteras de criptomonedas, y esto ocurre mientras el Pentágono ha expresado preocupaciones sobre el blockchain.

Índice de Contenido
  1. Una forma inusual de propagación: YouTube
  2. Características del malware PennyWise
  3. Cómo PennyWise roba datos
  4. Cómo protegerse de esta amenaza

Una forma inusual de propagación: YouTube

El malware se hace pasar por una aplicación gratuita de minería de Bitcoin, que se anuncia y se puede descargar a través de un video de YouTube (Figura A).

Figura A

Aunque esta captura de pantalla muestra un número muy limitado de visitas, Cyble ha observado más de 80 videos en YouTube para infecciones masivas, todos almacenados en el canal de YouTube del actor de amenazas.

Mientras los usuarios ven el video, se les incita a descargar un archivo de archivo protegido con contraseña, que contiene el software de minería de Bitcoin anunciado pero que en realidad es el malware PennyWise.

VER: Brecha de contraseñas: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (Newsmatic)

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

El uso de un archivo de archivo protegido con contraseña es un conocido método de ingeniería social para generar confianza, ya que los usuarios tienden a ser menos sospechosos cuando el contenido está protegido con contraseña.

En un intento adicional de parecer más legítimo, el actor de amenazas agrega un enlace a VirusTotal que muestra resultados de antivirus para un archivo limpio que no es el malware. El actor de amenazas también menciona que el usuario podría tener que desactivar su antivirus si no se le permite descargar el archivo, pero que es completamente seguro (Figura B).

Figura B

Atención: ¡PennyWise acecha en YouTube y amenaza tus criptomonederos y navegadores! - Seguridad | Imagen 1 Newsmatic

El archivo de archivo contiene un instalador para PennyWise, que lo ejecuta antes de que el malware comience a comunicarse con su servidor de comando y control.

Características del malware PennyWise

El malware está ofuscado con una herramienta de encriptación desconocida y utiliza la multihilo para ser más eficiente en el robo de datos.

Cómo proteger tu computadora de los virus: métodos y consejos

Una vez que se ejecuta, el malware obtiene la ruta de varios navegadores diferentes a los que apunta:

  • Más de 30 navegadores basados en Chrome
  • Más de 5 navegadores basados en Mozilla
  • Opera
  • Microsoft Edge

El malware luego obtiene el nombre de usuario, el nombre de la máquina, el idioma del sistema y la zona horaria del sistema operativo de las víctimas. La zona horaria se convierte en Hora Estándar de Rusia.

Otra característica geográfica se presenta cuando el malware intenta identificar el país de la víctima. Detiene por completo todas las operaciones si el país es uno de los siguientes:

  • Rusia
  • Ucrania
  • Belarús
  • Kazajistán

Esto podría indicar que el actor de amenazas podría querer evitar las agencias de aplicación de la ley en estos países en particular.

Además, el malware obtiene el controlador gráfico y el nombre del procesador y guarda todo en una carpeta oculta en el directorio AppData\Local.

Una vez hecho esto, el malware intenta determinar en qué tipo de entorno se está ejecutando mediante trucos de anti-análisis y anti-detección. Si se ejecuta en una máquina virtual, se detiene.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Se realizan más comprobaciones para determinar qué antivirus o entorno controlado podría estar ejecutándose, y el malware verifica una lista predefinida de nombres de procesos relacionados con herramientas de análisis como wireshark, fiddler y tcpview.

Cómo PennyWise roba datos

Una vez que el malware ha realizado todas las comprobaciones, inicia la multihilo para obtener eficiencia. Se crean más de 10 hilos, cada uno a cargo de una operación diferente.

El malware solo roba archivos RTF, DOC, DOCX, TXT y JSON que sean más pequeños de 20 kb. Los archivos se guardan en una carpeta "grabber" en la infraestructura de la carpeta oculta creada por el malware.

El malware también enumera todo el software instalado en el sistema.

Se roban todos los datos de los navegadores conocidos si el malware detecta un navegador que conoce, incluidas las credenciales de inicio de sesión, las cookies, las claves de cifrado y las contraseñas maestras.

También se roban los tokens de Discord y las sesiones de Telegram, y se toma una captura de pantalla de la pantalla del usuario.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

A continuación, se consulta el registro en busca de billeteras de criptomonedas como Litecoin, Dash y Bitcoin antes de dirigirse a billeteras de almacenamiento en frío como Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic Wallet, Guarda y Coinomi. Se roban archivos de billeteras de una lista de carpetas predefinidas. También se apuntan extensiones de criptomonedas en navegadores basados en Chrome.

Una vez que se ha completado toda la recopilación, se comprime y se envía a un servidor controlado por el atacante antes de ser eliminado del equipo.

Cómo protegerse de esta amenaza

Nunca se debe descargar software de fuentes no verificadas o no confiables. El software siempre debe descargarse de sitios web legítimos después de una verificación cuidadosa por parte del usuario.

Los usuarios tampoco deben desactivar su antivirus con el fin de instalar una nueva aplicación. Una detección maliciosa del antivirus debería ser una advertencia seria para el usuario. El antivirus o el producto de seguridad que se ejecuta en el equipo siempre deben mantenerse actualizados junto con todo otro software y el propio sistema operativo.

Se debe evitar el almacenamiento de credenciales en el navegador. En su lugar, se debe utilizar un gestor de contraseñas, con una contraseña diferente para cada sitio web o servicio en línea. Cuando sea posible, se debe implementar la autenticación de múltiples factores, de manera que cuando un ciberdelincuente esté en posesión de credenciales válidas, no pueda utilizarlas para acceder a ningún servicio en línea.

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Atención: ¡PennyWise acecha en YouTube y amenaza tus criptomonederos y navegadores! , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.