Güvenlik uzmanları, siber suçluların güçlü kötü amaçlı yazılımları dağıtmak için YouTube'u kullanmaya başladığını keşfetti. Cyble Research Labs araştırmacıları, kısa süre önce, tümü nispeten az sayıda izleyiciye sahip ve tamamı aynı kullanıcıya ait olan 80'den fazla videoya rastladı. Videolar, izleyicileri indirmeye ikna etmek amacıyla bir bitcoin madenciliği yazılımının nasıl çalıştığını gösteriyor gibi görünüyor.
İndirme bağlantısı videonun açıklamasında yer alıyor ve kurbanları meşruluğuna ikna etmek için şifre korumalı bir arşiv içerisinde sunuluyor. Bu etkiyi daha da artırmak için indirilen arşiv, dosyayı "temiz" olarak gösteren bir VirusTotal bağlantısı ve bazı virüsten koruma programlarının yanlış bir pozitif uyarıyı tetikleyebileceğine dair bir uyarı ile birlikte geliyor.
PennyWise adlı kötü amaçlı yazılımın kendisi, sistem bilgilerinden oturum açma kimlik bilgilerine, tanımlama bilgilerine, şifreleme anahtarlarına ve ana parolalara kadar her türlü veriyi çalıyor. Ayrıca Discord belirteçlerini ve Telegram oturumlarını çalabiliyor ve sürekli olarak ekran görüntüleri alabiliyor. Ayrıca, cihazı potansiyel kripto para cüzdanları, soğuk depo cüzdan verileri ve kripto ile ilgili tarayıcı eklentileri için tarıyor.
Bunların hepsini toplamasının ardından verileri tek bir dosyaya sıkıştırıyor ve saldırganların kontrolündeki bir sunucuya gönderiyor. Daha sonra da kendi kendini imha ediyor.
PennyWise ayrıca çevresini analiz etme ve savunulan bir ortamda çalışmadığından emin olma yeteneğine de sahip. Bir sanal alanda olduğunu veya cihazda bir analiz aracının çalıştığını keşfederse, tüm eylemlerini hemen durduruyor.
Araştırmacılar, kötü amaçlı yazılımın, kurbanın uç noktasının Rusya, Ukrayna, Beyaz Rusya veya Kazakistan'da bulunduğunu keşfederse tüm operasyonları tamamen durduracağını da keşfetti ve bu da operatörlerin bağlantısı hakkında bazı ipuçları veriyor.