Osteuropäische Pennywise-Malware stiehlt Krypto-Bestände

Wie die Cyber-Sicherheitsfirma Cyble in einem Blogpost warnt, treibt offenbar ein neues Hacking-Tool sein Unwesen im Kryptospace. Die Malware PennyWise, die seit Mai über YouTube-Links und Social Media Beiträge verbreitet, stiehlt ihren Opfern sensible Daten. Die Spur führt nach Osteuropa. In den vergangenen Monaten vermeldeten zahlreiche Projekte Scams und Hacks, die Passwörter und Daten von unachtsamen Internet-Benutzern abgegriffen haben – Handelskontor-News berichtete.

Kostenloses Mining-Tool birgt weitreichende Gefahr

Auf einem YouTube-Kanal bewerben die Angreifer ihre Schadsoftware. In insgesamt 80 Videos erklären sie, wie die Zuschauer die kostenlose Bitcoin-Mining-Software nutzen können. Opfer werden auf eine Website geleitet, die den Besucher vor der Installation sogar bittet, das Antiviren-Programm zu deaktivieren.

Einmal installiert, greift das Tool auf Browserverläufe, liest Systemdaten aus, erstellt Screenshots von Chats und kann sogar Cold Wallets gefährlich werden. Obwohl diese Art von Wallet vom Internet getrennt ist und offline funktioniert, sind der Sicherheitsfirma nach, Folgende betroffen: „Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electreum, Atomic Wallet, Guarda, und Coinomi.”

Angreifer mit russischem Zeitstempel

„Die Malware versucht, das Land des Opfers mithilfe der CultureInfo-Klasse zu identifizieren und beendet ihre Ausführung, wenn das Opfer innerhalb der folgenden Standorte ansässig ist“, schreibt Cyble. Demnach seien Russland, Ukraine, Belarus und Kasachstan von Angriffen ausgeschlossen.

Die Autoren mutmaßen, dass die Scammer selbst aus Russland kommen. Bei jeder Attacke werden die Zeitangaben der Daten in die Moskauer Zeit konvertiert. Ob die Kriminellen tatsächlich aus Russland agieren, kann allerdings nicht festgestellt werden. Seit dem Angriffskrieg auf die Ukraine wird aber vermehrt mit russischen Attacken auf digitaler Ebene gerechnet.