Криптотроян PennyWise предназначен для кражи криптовалют из 30 разных кошельков и расширений для браузера. Название отсылает к персонажу романа Стивена Кинга «Оно» клоуну Пеннивайзу. В Cyble считают, что это ПО представляет из себя реальную угрозу, в том числе для владельцев холодных криптокошельков.

Украденные у жертв данные поступают как информация о крипторасширениях для браузеров на основе Chromium и Mozilla, и также включают в себя информацию для входа в кошельки. Кроме того, ПО умеет делать снимки экрана и скачивать чаты в Telegram и Discord.

Программа нацелена на такие холодные криптокошельки как Atomic Wallet, Jaxx, Armory, Exodus, Guarda и любые другие, поддерживающие Zcash и Эфириум. В Cyble подчеркнули, что ПО может распространяться через обучающие видеоролики по майнингу на YouTube, которые предлагают бесплатные программы для майнинга биткоинов (BTC). Злоумышленники создают целые каналы с такими роликами. В некоторых из них мошенники предлагают пользователям бесплатную премиум подписку на Spotify.

Примечательно, что вредоносная программа не работает, если жертва заходит по IP из России, Украины, Казахстана или Беларуси.

В начале года исследователь цифровой безопасности под ником 3xp0rt опубликовал в своем блоге отчет, где рассказал о новом вредоносном ПО Mars Stealer, которое также как и PennyWise, обходит стороной жителей пяти стран СНГ.