تنتشر سلالة جديدة من البرامج الضارة التي تستهدف العملات المشفرة عبر يوتيوب، حيث تخدع المستخدمين لتنزيل البرامج المصممة لسرقة البيانات من ٣٠ محفظة عملات مشفرة وامتدادات العملات المشفرة للمتصفحات.

حيث قالت شركة "سايبل" للاستخبارات الإلكترونية في منشور على مدونة يوم ٣٠ يونيو إنها كانت تتعقب البرنامج الضار المعروف باسم "بيني وايز" - الذي من المحتمل أن يكون اسمه على اسم الوحش في رواية الرعب لستيفن كينج "It" - منذ أن تم التعرف عليه لأول مرة في مايو.

وكتب سايبل في منشور المدونة بتاريخ ٣٠ يونيو: "يشير تحقيقنا إلى أن السارق يمثل تهديدًا ناشئًا"، مضيفةً:

"في الإصدار الحالي، يمكن لهذا السارق أن يستهدف أكثر من ٣٠ متصفحًا وتطبيقات للعملات المشفرة مثل محافظ العملات المشفرة الباردة، وامتدادات العملة المشفرة للمتصفحات، وما إلى ذلك."

تأتي البيانات المسروقة من نظام الضحية في شكل معلومات متصفح كروميوم وموزيلا، بما في ذلك بيانات امتداد العملات المشفرة وبيانات تسجيل الدخول. كما يمكنه أيضًا التقاط لقطات شاشة وسرقة جلسات لتطبيقات الدردشة مثل ديسكورد وتيليغرام.

تستهدف البرامج الضارة أيضًا محافظ العملات المشفرة الباردة مثل أرموري وبايتكوين وجاكس وإكسودس وإلكتروم وأتوميك واليت وغواردا وكوينومي، بالإضافة إلى المحافظ التي تدعم زي كاش وإيثريوم من خلال البحث عن ملفات المحفظة في الدليل وإرسال نسخة من الملفات إلى المهاجمين، وذلك وفقًا لسايبل.

كما أشارت شركة الأمن السيبراني إلى أن البرامج الضارة تنتشر على مقاطع الفيديو التعليمية للتعدين على يوتيوب والتي تزعم أنها برنامج مجاني لتعدين بيتكوين.

يقوم المجرمون الإلكترونيون أو "المهاجمون" بتحميل مقاطع الفيديو لإرشاد المشاهدين لزيارة الرابط الموجود في الوصف وتنزيل البرنامج المجاني، مع تشجيعهم أيضًا على تعطيل برنامج مكافحة الفيروسات الخاص بهم والذي يمكّن البرامج الضارة من العمل بنجاح.

حيث قالت سايبل إن المهاجم كان لديه ما يصل إلى ٨٠ مقطع فيديو على قناته على يوتيوب حتى ٣٠ يونيو، ومع ذلك، تمت إزالة القناة التي تم تحديدها منذ ذلك الحين.

وقد وجد بحث بواسطة كوينتيليغراف أن روابط مماثلة للبرامج الضارة لا تزال موجودة على قنوات يوتيوب الأصغر الأخرى، مع مقاطع فيديو تعد بتعدين توكنات غير قابلة للاستبدال مجانية، وتصحيحات للبرامج المدفوعة وحساب سبوتيفاي بريميوم مجاني، وأكواد غش للألعاب.

تم إنشاء العديد من هذه الحسابات خلال الأربع وعشرين ساعة الماضية فقط.

ومن المثير للاهتمام أن البرنامج الضار مصمم لإيقاف نفسه إذا اكتشف أن الضحية يقع في روسيا وأوكرانيا وبيلاروسيا وكازاخستان. كما اكتشفت سايبل أيضًا أن البرنامج الضار يحول بيانات المنطقة الزمنية المسروقة للضحية إلى التوقيت الرسمي الروسي (RST) عندما يتم إرسال البيانات مرة أخرى إلى المهاجمين.