Эксперты по кибербезопасности обнаружили опасный троян, который похищает файлы и прочую конфиденциальную информацию, открывающую доступ к учетным записях в соцсетях и на онлайн-сервисах. Подцепить вредоносную программу можно через YouTube.
Как уточняется на сайте компании "Доктор Веб", троянец начали распространять 11 марта. Процесс продолжается до сих пор.
Злоумышленники размещают ссылки на вредоносное ПО в комментариях к видеороликам на YouTube. Видео, под которыми они публикуются, рассказывают о жульнических методах прохождения игр ("читах") с использованием специальных приложений. Троянец выдается за такие программы, а также другие полезные утилиты.
Для того, чтобы все выглядело правдоподобно, злоумышленники размещают под роликом комментарии с поддельных аккаунтов, подтверждающие "безопасность" ссылки. Клик по ней приводит на серверы Яндекс.Диск. На компьютер жертвы загружается самораспаковывающийся RAR-архив с троянцем.
Как выяснили эксперты, вирус собирает файлы cookies браузеров Vivaldi, Chrome, Яндекс.Браузер, Opera, Kometa, Orbitum, Dragon, Amigo, Torch; сохраненные логины и пароли из этих же браузеров; снимок экрана. А также копирует с рабочего стола Windows файлы с расширениями ".txt", ".pdf", ".jpg", ".png", ".xls", ".doc", ".docx", ".sqlite", ".db", ".sqlite3", ".bak", ".sql", ".xml". Полученные данные сохраняются в папке C:/PG148892HQ8, а затем упаковываются в архив spam.zip и вместе с информацией о расположении зараженного устройства отправлются на сервер злоумышленников.
Вирус назван Trojan.PWS.Stealer.23012, написан он на языке Python и заражает компьютеры под управлением Microsoft Windows.