Компанія «Доктор Веб» повідомила про поширення небезпечного троянця, який викрадає із зараженого пристрою файли та іншу конфіденційну інформацію. Витік цих даних може призвести до того, що зловмисники отримають доступ до облікових записів жертв у соціальних мережах та інших онлайн-сервісах.

Програма, яка отримала назву Trojan.PWS.Stealer.23012, написана мовою Python і заражає комп'ютери під керуванням Microsoft Windows. Поширення троянця почалося приблизно 11 березня і триває до сьогодні. Зловмисники публікують посилання на шкідливу програму у коментарях до відеороликів на ресурсі YouTube. Багато з таких роликів присвячені використанню шахрайських методів проходження ігор (cheats) із застосуванням спеціальних додатків, троянець маскується під такі програми та інші корисні утиліти. Посилання ведуть на сервери Яндекс.Діск. Щоб переконати відвідувача сайту натиснути на посилання, на сторінках роликів публікуються коментарі явно з підроблених облікових записів. При спробі перейти за таким посиланням на комп'ютер завантажується RAR-архів, що саморозпаковується, який містить троянця.

Запустившись на інфікованому комп'ютері, троянець збирає таку інформацію:

• файли Cookies браузерів Vivaldi, Chrome, Яндекс.Браузер, Opera, Kometa, Orbitum, Dragon, Amigo, Torch;
• збережені логіни/паролі з цих браузерів;
• знімок екрана.

Також він копіює з робочого столу Windows файли з розширеннями .txt, .pdf, .jpg, .png, .xls, .doc, .docx, .sqlite, .db, .sqlite3, .bak, .sql, . xml. Всі отримані дані Trojan.PWS.Stealer.23012 зберігає у папці C:/PG148892HQ8. Потім він упаковує їх до архіву spam.zip, який разом з інформацією про розташування зараженого пристрою відсилається на сервер зловмисників.

Вірусні аналітики компанії «Доктор Веб» виявили кілька зразків цього троянця. Частина детектується під ім'ям Trojan.PWS.Stealer.23198. Усі відомі модифікації цієї шкідливої ​​програми, наголошують у компанії, визначаються антивірусом Dr.Web.

Інші новини