Специалисты компании «Доктор Веб» сообщили о широком распространении вируса Trojan.DownLoad4.11892, который при запуске скачивает другого троянца с целью кражи персональных данных владельцев криптовалют.
Вирус распространяется под видом приложения для отслеживания курсов криптовалют. Сообщения с предложением установить эту программу появились в онлайн-сообществах, посвященных криптовалютам, осенью 2018 года.
Разработчики приложения обещают бесплатный, надежный и сертифицированный виджет. На первый взгляд, приложение не вызывает подозрений: у него есть действительная цифровая подпись и оно показывает актуальную информацию о курсе криптовалют. Но по утверждению экспертов «Доктор Веб», за работоспособностью скрывается вредоносная функциональность.
При установке программа скачивает, компилирует и исполняет исходный код, загруженный с личного аккаунта разработчика на github. После чего он загружает Trojan.PWS.Stealer.24943, известного также как AZORult. Этот троянец используется для кражи личных данных, включая пароли от криптовалютных кошельков.
В основном мошенники предлагают скачать программу на русском, английском и польском языках. В русскоязычном сегменте интернета ее распространяют в группах майнеров в социальной сети ВКонтакте.
На данный момент программа все еще доступна на различных файлообменных сервисах и на GitHub.