Meldungen über Malware gibt es regelmäßig. Dabei versuchen Kriminelle auf immer neue Weise Daten möglichst vieler Personen zu erbeuten und deren Geräte dahingehend auszuspionieren. Eine ganz neu entdeckte Schadsoftware schafft es nun aber, selbst einen erfahrene Sicherheitsforscher zu erstaunen.

Verbreitung über YouTube-Videos: Neue Malware stiehlt sensible Browserdaten

Wie Wissenschaftler*innen von Cyble Research Labs mit Bezug auf den Twitter-Post eines anderen Forschers berichten, nutzen Hacker*innen inzwischen YouTube zur Verbreitung ihrer Malware. Wie ungewöhnlich diese ist, zeigt der Kommentar bei Twitter:

„Das ist neu für mich: #pennywise #stealer“

Twitter/@James_inthe_box

Gefunden wurden über 80 Videos, die alle vergleichsweise wenige Views hatten und unter demselben Usernamen angelegt sind. In den Clips scheint demonstriert zu werden, wie eine bestimmte Bitcoin-Software funktioniert, um Nutzer*innen dazu zu bewegen, diese herunterzuladen.

Der entsprechende Downloadlink befindet sich im Beschreibungstext unter dem YouTube-Video und führt direkt zur Malware, die die Sicherheitsforscher*innen als „PennyWise“ bezeichnen.

Dabei gehen die Kriminellen besonders gründlich vor, um Legitimität vorzutäuschen. So gelangt man über den Link zunächst zu einem passwortgeschützten Archiv. Dort gibt es wiederum einen Link zum Verifizierungsdienst VirusTotal von Google, über den die schädliche PennyWise-Datei als „sauber“ eingestuft wird. Dazu kommt eine Warnung, dass Virusprogramme einen falschen positiven Alarm auslösen können.

So aggressiv ist die YouTube-Malware

Hast du dir das Schadprogramm eingefangen, ist nicht mehr viel davor sicher. Wie Cyble Research Labs weiter erklärt, stiehlt PennyWise alle Arten von Daten. Unter anderem die Folgenden:

  • Systeminformationen
  • Login-Daten
  • Cookies
  • Verschlüsselungscodes
  • Master-Passwörter
  • Discord-Token
  • Telegram-Sitzungen

Dazu macht die Malware Screenshots, scannt Geräte auf potenzielle Krypto-Wallets sowie Krypto-bezogene Browser-Addons. Alle gesammelten Daten werden dann zu einer Datei komprimiert und an einen Server unter der Kontrolle der Kriminellen gesendet. Anschließend zerstört sich PennyWise selbst.

Die Sicherheitsforscher*innen entdeckten zudem, dass die Malware ihre Aktivitäten komplett einstellt, wenn sie herausfindet, dass der Standort ihres Opfers innerhalb von Russland, der Ukraine, Belarus oder Kasachstan liegt. Dahinter könnte die Strategie stehen, das Risiko von den jeweiligen Landesbehörden gefasst zu werden, so minimal wie möglich zu halten.

Das bietet dir Schutz vor Malware

Um dich zu schützen, solltest du niemals Software aus unbekannter Quelle herunterladen. Nutze dazu ausschließlich legitimierte Webseiten, die du vorher geprüft hast. Dein Antivirenprogramm sollte zudem nie deaktiviert sein, um eine neue Anwendung zu installieren. Nimm Warnungen ernst und halte die Programme auf dem neuesten Stand.

Speichere Passwörter möglichst nicht in deinem Browser ab, nutze dafür lieber einen Passwortmanager sowie unterschiedliche Passwörter für jede Webseite und jeden Onlinedienst. Dazu ist eine Multifaktorauthentifizierung empfehlenswert.

Quellen: Cyble Research Labs, Twitter/@James_inthe_box

Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.

Du willst mehr von uns lesen? Folge uns auf Google News.