Аналитики компании «Доктор Веб» обнаружили трояна Trojan.DownLoad4.11892 (он же AZORult) в программе для отслеживания изменения курсов криптовалют. Малварь представляет собой загрузчик, и скачивает на зараженную машину другого трояна, нацеленного на кражу персональных данных жертв.
Исследователи рассказывают, что еще осенью прошлого года в онлайн-сообществах, посвященных криптовалютам, стали появляться сообщения с предложением установить программу для отслеживания изменения курсов. Ее разработчики обещали бесплатный, надежный и сертифицированный виджет. На первый взгляд, приложение не вызывало подозрений: у него была действительная цифровая подпись и оно действительно показывало актуальную информацию о курсах криптовалют. Однако за этим скрывалась вредоносная функциональность.
При установке программа скачивает, компилирует и исполняет исходный код, загруженный с личного аккаунта разработчика на Github. После чего тот загружает на машину жертвы AZORult. Данный троян используется для кражи личных данных пользователей, включая пароли от криптовалютных кошельков.
Опасный виджет преимущественно рекламируется на русском, английском и польском языках. В рунете трояна распространяют в основном в группах майнеров «Вконтакте». При этом эксперт предупреждают, что вредоносная кампания по-прежнему активна, и малварь все еще доступна на различных файлообменных сервисах, а также на Github.