На YouTube «поселился» троян, ворующий персональные данные

Специалисты из компании «Доктор Веб» обнаружили новый вирус, крадущий чувствительные данные со скомпрометированных устройств. Он распространяется через ссылки на видеохостинге YouTube.

На что способен вредитель?

Python-троян получил название Trojan.PWS.Stealer.23012. Он активируется на компьютерах под управлением ОС Windows. Ссылки на вирус публикуются злоумышленниками в комментариях к видеороликам, многие из которых посвящены «читерскому» прохождению игр. Мошенники выдают вредоносную программу за утилиты для взлома игрового ПО или полезные файлы.

При переходе по такой ссылке на компьютер жертвы загружается самораспаковывающийся RAR-архив. Запустившийся троян начинает быстро собирать пользовательские данные:

• файлы Cookies браузеров Vivaldi, Chrome, Яндекс.Браузер, Opera, Kometa, Orbitum, Dragon, Amigo, Torch;
• сохранённые учётные данные в браузерах.

Также вирус умеет делать снимки экрана и копировать с Рабочего стола файлы с расширениями .txt, .pdf, .jpg, .png, .xls, .doc, .docx, .sqlite, .db, .sqlite3, .bak, .sql, .xml.

Всю похищенную информацию Trojan.PWS.Stealer.23012 упаковывает в архив spam.zip в папке C:/PG148892HQ8 и вместе с данными о расположении заражённого устройства отправляет на сервер злоумышленников.

Этот вредонос может быть успешно определён и ликвидирован последними версиями современных антивирусов. Однако даже самые новые из них в большинстве своём до сих пор не научились детектировать старый троян Coldroot, написанный на языке Pascal.