Эксперты по кибербезопасности обнаружили опасный троян, который похищает файлы и прочую конфиденциальную информацию, открывающую доступ к учетным записях в соцсетях и на онлайн-сервисах. Подцепить вредоносную программу можно через YouTube, пишет "Российская газета".
Как уточняют эксперты компании "Доктор Веб", троянец начали распространять 11 марта. Процесс продолжается до сих пор.
Злоумышленники размещают ссылки на вредоносное ПО в комментариях к видеороликам на YouTube. Видео, под которыми они публикуются, рассказывают о жульнических методах прохождения игр ("читах") с использованием специальных приложений. Троянец выдается за такие программы, а также другие полезные утилиты.
Для того, чтобы все выглядело правдоподобно, злоумышленники размещают под роликом комментарии с поддельных аккаунтов, подтверждающие "безопасность" ссылки. Клик по ней приводит на серверы Яндекс.Диск. На компьютер жертвы загружается самораспаковывающийся RAR-архив с троянцем.
Как выяснили эксперты, вирус собирает файлы cookies браузеров Vivaldi, Chrome, Яндекс.Браузер, Opera, Kometa, Orbitum, Dragon, Amigo, Torch; сохраненные логины и пароли из этих же браузеров; снимок экрана. А также копирует с рабочего стола Windows файлы с расширениями ".txt", ".pdf", ".jpg", ".png", ".xls", ".doc", ".docx", ".sqlite", ".db", ".sqlite3", ".bak", ".sql", ".xml". Полученные данные сохраняются в папке C:/PG148892HQ8, а затем упаковываются в архив spam.zip и вместе с информацией о расположении зараженного устройства отправлются на сервер злоумышленников.
Вирус назван Trojan.PWS.Stealer.23012, написан он на языке Python и заражает компьютеры под управлением Microsoft Windows.