Троянец на сайте YouTube

Программа, получившая наименование Trojan.PWS.Stealer.23012, написана на языке Python и заражает компьютеры под управлением Microsoft Windows. Распространение троянца началось примерно 11 марта и продолжается по сегодняшний день. Злоумышленники публикуют ссылки на вредоносную программу в комментариях к видеороликам на ресурсе YouTube. Многие из таких роликов посвящены использованию жульнических методов прохождения игр (cheats) с применением специальных приложений, троянец маскируется под такие программы и другие полезные утилиты. Ссылки ведут на серверы Яндекс.Диск. Чтобы убедить посетителя сайта нажать на ссылку, на страничках роликов публикуются комментарии явно с поддельных аккаунтов. При попытке перейти по такой ссылке на компьютер загружается самораспаковывающийся RAR-архив, который содержит троянца.

Запустившись на инфицированном компьютере, троянец собирает следующую информацию:

• файлы Cookies браузеров Vivaldi, Chrome, Яндекс.Браузер, Opera, Kometa, Orbitum, Dragon, Amigo, Torch;
• сохраненные логины/пароли из этих же браузеров;
• снимок экрана.

Также он копирует с рабочего стола Windows файлы с расширениями .txt, .pdf, .jpg, .png, .xls, .doc, .docx, .sqlite, .db, .sqlite3, .bak, .sql, .xml. Все полученные данные Trojan.PWS.Stealer.23012 сохраняет в папке C:/PG148892HQ8. Затем он упаковывает их в архив spam.zip, который вместе с информацией о расположении зараженного устройства отсылается на сервер злоумышленников.

Вирусные аналитики компании «Доктор Веб» обнаружили несколько образцов этого троянца. Часть из них детектируется под именем Trojan.PWS.Stealer.23198. Все известные модификации этой вредоносной программы, подчеркивают в компании, определяются антивирусом Dr.Web.